Vérificateur de Force de Mot de Passe
Estimez l'entropie d'un mot de passe et combien de temps il faudrait pour le craquer par force brute. 100 % local — rien n'est téléchargé.
Réponse rapide: Estimez l'entropie d'un mot de passe et combien de temps il faudrait pour le craquer par force brute. 100 % local — rien n'est téléchargé.
Dernière mise à jour
Questions fréquentes
- Comment mesurez-vous la force d'un mot de passe ?
- Nous multiplions la longueur du mot de passe par log₂ de la taille de l'alphabet que vous avez utilisé (26+26+10+32 si vous avez utilisé les quatre classes). Le résultat est l'entropie en bits — 80 et plus est fort, 100 et plus est incassable dans un délai pratique.
- Mon mot de passe est-il envoyé quelque part pour vérification ?
- Non. Le score est calculé en JavaScript sur votre machine. Le mot de passe n'est pas envoyé à un serveur, pas stocké dans un cookie et n'est jamais comparé à une base de données sur les violations en ligne.
- Vérifie-t-il HaveIBeenPwned ?
- Non, intentionnellement. Même l'API de k-anonymité nécessite d'envoyer un préfixe de hachage ; nous ne voulons pas effectuer d'appel réseau depuis un champ de mot de passe. Utilisez 1Password ou HIBP directement si vous avez besoin d'une vérification de violation.
- Que signifie l'estimation du temps nécessaire pour craquer ?
- C'est le temps nécessaire pour épuiser l'espace de clés à 10¹¹ tentatives par seconde — un taux réaliste hors ligne pour un GPU contre un hachage à une seule itération. Les attaques en ligne contre des formulaires de connexion limités par le débit sont des millions de fois plus lentes.
- Pourquoi mon mot de passe long est-il noté 'faible' ?
- Parce qu'il utilise probablement seulement une classe de caractères. 'aaaaaaaaaaaaaaaa' est de 16 caractères mais seulement ~75 bits d'entropie maximum ; en pratique, l'entropie est proche de zéro parce que tous les caractères sont identiques. Mélangez des majuscules/chiffres/symboles ou utilisez une phrase de passe.
- Le score est-il le même que zxcvbn ?
- C'est une heuristique plus simple et plus rapide dans le même esprit. zxcvbn pénalise également les mots du dictionnaire, les dates et le l33tspeak — ses scores sont légèrement inférieurs pour les mots de passe choisis par des humains. Pour les mots de passe aléatoires, les deux coïncident étroitement.
- Quel est un bon objectif d'entropie ?
- 80 bits est le minimum moderne. 100 bits est amplement suffisant pour toute information sensible. 128 bits est excessif en dehors des matériaux de clé cryptographique.
- Est-ce que cela fonctionne pour les phrases de passe ?
- Partiellement. Le vérificateur suppose que le mot de passe est une chaîne aléatoire d'un alphabet de caractères. Une phrase de passe Diceware de 6 mots a ~77 bits d'entropie mais obtiendra un score plus bas ici parce que nous la notons comme si vous aviez choisi des caractères individuels.
- Pourquoi mon mot de passe est-il signalé comme commun ?
- Parce qu'il figure dans la petite liste intégrée des 20 mots de passe les plus courants victimes de violations (motdepasse, 123456, qwerty, etc.). Même s'il obtiendrait sinon un bon score, les attaquants essaient d'abord ceux-ci.
- Devrais-je faire tourner des mots de passe forts périodiquement ?
- Les recommandations modernes (NIST SP 800-63B) sont non — faites-le seulement après une compromission connue. Un changement périodique pousse les utilisateurs vers des mots de passe plus faibles et prévisibles.