Pourquoi générer ses mots de passe localement ?
Un générateur côté serveur a, par définition, vu votre mot de passe. Celui-ci utilise le générateur cryptographique de votre navigateur, le même que celui des sites bancaires : la page fonctionne même hors ligne.
Ce qui rend un mot de passe fort en pratique
- La longueur prime sur l'astuce. Un mot de passe aléatoire de 20 caractères est astronomiquement plus solide qu'un mot de passe "malin" de 10 caractères. Chaque caractère supplémentaire multiplie le travail d'un attaquant.
- L'aléatoire prime sur le mémorisable. Les humains sont de mauvais générateurs d'aléatoire - les modèles, dates et substitutions (p@ssw0rd) sont les premières choses que les outils de craquage essaient.
- L'unicité prime sur tout. Le vecteur d'attaque le plus courant est un mot de passe réutilisé. Utilisez un gestionnaire de mots de passe et un mot de passe aléatoire différent par site.
Ce que signifie le chiffre d'entropie
L'entropie (en bits) mesure le nombre de suppositions nécessaires à un attaquant : chaque bit supplémentaire double le travail. En règle générale, 80+ bits est solide pour les comptes en ligne et 100+ bits est pratiquement incassable avec le matériel actuel.
FAQ
Générateur de mots de passe : mes données sont-elles envoyées sur un serveur ?
- Non. Aucune requête réseau n’est impliquée dans leur génération - vous pouvez le vérifier en consultant l’onglet réseau des outils de développement de votre navigateur.
Math.random() est-il utilisé ?
- Non - ce n’est pas cryptographiquement sûr. Cet outil utilise
crypto.getRandomValues, avec rejection sampling pour éviter les biais statistiques. Dois-je exclure les caractères similaires ?
- Si vous devez jamais lire ou taper le mot de passe manuellement, oui. S’il est dans un gestionnaire de mots de passe, vous pouvez les inclure pour un pool légèrement plus large.