Générez un mot de passe fort et aléatoire d'un clic. Ajustez la longueur et les classes de caractères pour correspondre à la politique du site cible. L'aléa vient de l'API Web Crypto du navigateur — votre mot de passe ne quitte jamais votre machine.
Les humains sont mauvais pour créer de l'aléa. Choisir son propre mot de passe donne presque toujours quelque chose de prévisible — un nom, une date, un motif clavier. Un générateur tire de l'entropie réelle de la source aléatoire sécurisée du système d'exploitation, ce qui rend le résultat impossible à deviner pour un attaquant sauf par recherche exhaustive.
La longueur compte plus que la complexité. Un mot de passe de 20 caractères en minuscules uniquement (~94 bits) est plus difficile à casser qu'un mot de passe de 8 caractères utilisant les quatre classes (~52 bits). Visez au moins 80 bits d'entropie pour les comptes généraux et 120+ bits pour tout ce qui protège vos autres mots de passe (mot de passe maître, clé de récupération).
Non. La génération utilise crypto.getRandomValues() dans votre navigateur. Le mot de passe n'est conservé qu'en mémoire et n'est jamais transmis. Fermer l'onglet le supprime.
C'est une mesure de l'imprévisibilité d'un mot de passe. Chaque bit double l'espace de recherche pour un attaquant. 80 bits d'entropie signifie qu'un attaquant devrait essayer de l'ordre de 2^80 (~1,2 quadrillions de milliards) de mots de passe pour le forcer brutalement — infaisable avec le matériel actuel.
Des caractères comme la lettre « I » et le chiffre « 1 », ou la lettre « O » et le chiffre « 0 », semblent identiques dans de nombreuses polices. Les exclure facilite la lecture et la saisie manuelle si jamais nécessaire. Le compromis est une petite réduction d'entropie.
Pour les identifiants que vous devez taper vous-même (connexion laptop, mot de passe maître d'un coffre), une phrase de 5 à 7 mots tirés d'une longue liste atteint ~70-90 bits d'entropie et est bien plus facile à mémoriser qu'une chaîne aléatoire de même force. Pour tout le reste — logins de sites, clés API — laissez votre gestionnaire de mots de passe en générer et stocker un aléatoire de 16+ caractères que vous ne tapez jamais.
La doctrine moderne (NIST SP 800-63B) est de ne changer qu'en cas de suspicion de compromission, pas sur un calendrier fixe. La rotation périodique forcée pousse les gens vers des variations prévisibles (Printemps2026 !, Été2026 !) plus faibles que l'original. Préférez : un mot de passe unique fort par site, stocké dans un gestionnaire, ne le changez que si le site notifie une fuite ou si vous repérez une activité suspecte.
Quand vous avez vraiment besoin d'un nouveau mot de passe fort.
Générez un mot de passe aléatoire de 16 caractères, collez-le une fois dans le formulaire d'inscription et stockez-le dans votre gestionnaire. Vous ne le retaperez plus.
Si un site que vous utilisez apparaît sur haveibeenpwned, générez un nouveau mot de passe ici et mettez à jour à la fois le site et votre gestionnaire — ne réutilisez jamais un mot de passe fuité.
Besoin d'un secret JWT, d'une clé API ou d'une clé de cookie de session pour un projet perso ? Générez une chaîne mixte de 32 caractères et collez-la dans votre .env.
Besoin d'un code de déverrouillage mémorisable mais fort ? Passez en chiffres seulement, prenez 6 à 8 caractères et évitez les séquences évidentes (1234, votre année de naissance).
Habitudes qui transforment un mot de passe généré en mot de passe qui vous protège réellement.
Un mot de passe aléatoire de 20 caractères est inutile s'il est griffonné sur un post-it. 1Password, Bitwarden ou le coffre intégré au navigateur conviennent — choisissez-en un et utilisez-le pour chaque site.
20 lettres minuscules ont plus d'entropie que 12 caractères mixed-case-symbol. Si un site refuse votre mot de passe parce qu'il est trop long, c'est un signal d'alarme sur la façon dont il le stocke.
Exclure 1/I et 0/O sacrifie un peu d'entropie. Ne le faites que si vous devez vraiment lire le mot de passe à l'écran — pour les flux paste-only, gardez-les.
Un mot de passe généré unique protège du credential stuffing. Ajouter un TOTP ou une passkey par-dessus protège aussi contre le phishing et les fuites. Activez la 2FA partout où c'est proposé.