Générateur de mot de passe
Générez des mots de passe forts et aléatoires instantanément — gratuit, sans inscription.
Qu'est-ce qu'un mot de passe fort ?
Un mot de passe fort est long, véritablement aléatoire et unique — utilisé pour un seul compte, jamais réutilisé ailleurs. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) recommande des mots de passe d'au moins 12 caractères pour les usages courants et 16 ou plus pour les comptes sensibles tels que la messagerie, la banque en ligne ou l'espace FranceConnect.
En France, la CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle du RGPD. Elle a publié des recommandations techniques précises sur les mots de passe, incluant des exigences minimales d'entropie. La CNIL peut sanctionner les organisations dont les politiques de mots de passe sont insuffisantes — comme en témoignent plusieurs mises en demeure et amendes prononcées ces dernières années, dont l'amende de 50 millions d'euros infligée à Google en 2019.
Ce générateur utilise crypto.getRandomValues() — l'API cryptographiquement sécurisée du navigateur. Votre mot de passe est créé entièrement dans votre navigateur et n'est jamais transmis à aucun serveur.
Comment fonctionne le générateur de mot de passe
Sélectionnez vos types de caractères, ajustez la longueur et cliquez sur Générer. L'outil construit un pool de caractères selon vos paramètres, puis sélectionne chaque position indépendamment avec crypto.getRandomValues() et un échantillonnage par rejet pour éliminer tout biais statistique. Le résultat est un mot de passe avec une entropie maximale pour le pool choisi.
Entièrement côté client. Aucune donnée n'est envoyée à nos serveurs. Aucun mot de passe n'est enregistré dans des journaux, stocké ou inclus dans des données analytiques. Vous pouvez le vérifier vous-même en ouvrant les outils développeur de votre navigateur (F12) → onglet Réseau : aucune requête sortante n'est déclenchée lorsque vous cliquez sur Générer.
L'entropie des mots de passe expliquée simplement
L'entropie mesure l'imprévisibilité de votre mot de passe en bits. La formule : entropie = log₂(taille du pool) × longueur. Un mot de passe de 16 caractères tiré de l'ensemble des 95 caractères ASCII imprimables possède environ 105 bits d'entropie.
Pour contextualiser : à un milliard de tentatives par seconde — la vitesse d'un GPU moderne pour des algorithmes de hachage rapides — épuiser un espace de 72 bits prendrait en moyenne 2,4 milliards d'années. La CNIL recommande d'évaluer la robustesse des mots de passe en termes d'entropie plutôt que par des règles de composition arbitraires. Notre indicateur de force affiche le nombre réel de bits pour que vous puissiez prendre une décision éclairée — et non une simple barre colorée.
Bonnes pratiques pour les utilisateurs français
- Un mot de passe unique par service. Après la fuite de données de Deezer en 2022 (257 millions de comptes), des attaques par bourrage de crédentiels ont ciblé d'autres services. Un mot de passe unique par compte invalide totalement ce type d'attaque.
- Activez l'authentification à deux facteurs (2FA). La plupart des banques françaises, FranceConnect, les impôts en ligne et les grands services comme Amazon.fr et PayPal proposent le 2FA. Avec le 2FA activé, un mot de passe compromis reste inutilisable pour un attaquant.
- Utilisez un gestionnaire de mots de passe. L'ANSSI recommande explicitement les gestionnaires de mots de passe. Dashlane (entreprise française, fondée à Paris) et Bitwarden sont des options populaires et bien évaluées.
- Vérifiez si vos données ont été exposées. Le site haveibeenpwned.com permet de vérifier si votre adresse e-mail est apparue dans des fuites de données connues. C'est gratuit et recommandé par les autorités de cybersécurité.
- Méfiez-vous des e-mails se réclamant des impôts ou de l'Assurance Maladie. Ces institutions sont parmi les plus usurpées en France. Elles ne demanderont jamais votre mot de passe par e-mail.
Sécurité des mots de passe en France : contexte réglementaire
La CNIL a publié en 2022 une recommandation mise à jour sur les mots de passe, fixant des niveaux d'entropie minimaux selon le contexte d'utilisation : 80 bits pour les comptes avec mesures complémentaires (2FA), 100 bits sans mesures complémentaires pour les comptes en ligne à risque élevé. Ces recommandations s'appliquent aux organisations, mais constituent également une excellente référence pour les individus.
La France a une relation particulière avec la cybersécurité : Dashlane, l'un des gestionnaires de mots de passe les plus utilisés en Europe, est une entreprise française fondée à Paris en 2009. L'ANSSI (Agence nationale de la sécurité des systèmes d'information), rattachée au Premier ministre, publie des guides techniques de référence en français — une ressource rare dans un secteur dominé par l'anglais.
Les incidents notables incluent la fuite Deezer (2022, 257 millions d'utilisateurs), l'attaque contre le CNED (2021), et de nombreuses violations dans le secteur hospitalier — dont les hôpitaux de Paris-Île-de-France en 2022. Chaque incident a rappelé que la sécurité des mots de passe est un maillon critique de la chaîne de protection.
FAQ
- Quelle longueur de mot de passe recommande la CNIL ?
- La CNIL recommande une entropie minimale de 80 bits lorsque des mesures complémentaires (comme le 2FA) sont en place, et de 100 bits dans les autres cas. En pratique, un mot de passe de 16 caractères avec tous les types de caractères activés atteint environ 105 bits — au-dessus du seuil recommandé pour tous les usages.
- Ce générateur est-il sécurisé ?
- Oui. Les mots de passe sont générés entièrement dans votre navigateur via
crypto.getRandomValues()— une API cryptographiquement sécurisée. Aucun mot de passe n'est transmis à nos serveurs. Aucun compte n'est requis. Vous pouvez le vérifier dans l'onglet Réseau des outils développeur de votre navigateur : aucune requête sortante n'est émise lorsque vous cliquez sur Générer. - Qu'est-ce que le mode prononçable ?
- Le mode prononçable génère des mots de passe avec des alternances consonnes-voyelles, produisant des résultats comme
Kixofu-47!— encore aléatoires et robustes, mais plus faciles à mémoriser ou à dicter. L'entropie est légèrement inférieure à celle d'un mot de passe entièrement aléatoire de même longueur. Nous recommandons d'utiliser des longueurs de 20 caractères ou plus dans ce mode. - Quelle est la différence entre "exclure les caractères similaires" et "exclure les caractères ambigus" ?
- "Caractères similaires" désigne les caractères visuellement confondants :
i,l,1,L,o,0,O. "Caractères ambigus" désigne les symboles problématiques dans certains environnements :{ } [ ] ( ) / \ ' " ` ~ , ; : < >. Les exclure facilite la saisie manuelle et évite les erreurs lors de la copie dans un terminal. - Puis-je générer plusieurs mots de passe à la fois ?
- Oui — jusqu'à 50 simultanément. Réglez le compteur "Nombre de mots de passe", cliquez sur Générer, puis utilisez "Tout copier" pour copier la liste complète dans le presse-papiers. Utile pour les administrateurs informatiques, les développeurs ou pour remplacer plusieurs mots de passe faibles en une seule session.
- Que faire si mes données ont été compromises dans une fuite ?
- Changez immédiatement le mot de passe du service concerné. Si vous avez réutilisé ce mot de passe sur d'autres services, changez-le également partout ailleurs. Activez le 2FA sur tous les comptes importants. Consultez haveibeenpwned.com pour voir si d'autres de vos comptes sont potentiellement exposés. Signalez l'incident à la CNIL si vous êtes en France et que des données personnelles sensibles sont en jeu.