iGotTools

Générer des mots de passe et tokens forts

Un générateur de mots de passe forts qui s'exécute dans votre navigateur. Créez mots de passe, phrases secrètes et tokens hex avec Web Crypto sans jamais envoyer votre secret à un serveur.

Un mot de passe dont vous vous souvenez est généralement un mot de passe que quelqu’un peut deviner, et un mot de passe repris sur plusieurs sites est une fuite qui n’attend que d’arriver. La solution, c’est de laisser un générateur produire des secrets longs et aléatoires pour vous, et de les confier à un gestionnaire pour ne plus avoir à les retenir. Le générateur de mots de passe et tokens construit des mots de passe, des phrases secrètes et des tokens hex en local avec Web Crypto, si bien que la valeur est créée sur votre appareil et ne touche jamais un serveur.

TL;DR

Vous pouvez produire des secrets forts et aléatoires sans les confier à aucun site.

  • Trois modes dans un seul outil — mots de passe, phrases secrètes mémorisables et tokens hex pour clés d’API.
  • Rien n’est envoyé — la génération s’exécute entièrement dans votre navigateur via l’API Web Crypto.
  • La force sous les yeux — chaque valeur reçoit une lecture de Force fondée sur l’entropie (Faible / Bonne / Forte).

Ce qui rend un mot de passe fort

La force vient de deux choses qui conjuguent leurs effets : la longueur et l’imprévisibilité. Des deux, la longueur compte bien plus que parsemer de symboles.

  • La longueur est le facteur dominant. Chaque caractère supplémentaire multiplie les combinaisons qu’un attaquant doit explorer. Un mot de passe aléatoire de 16 caractères est astronomiquement plus dur à casser qu’un de 8 caractères habilement choisi. Les recommandations NIST poussent vers des secrets plus longs ; 15 caractères ou plus est un plancher raisonnable pour les comptes importants.
  • Le hasard bat le choix humain. Les gens « ajoutent un chiffre et un symbole » à des endroits prévisibles (Password1!), ce que les attaquants savent. Le vrai hasard — chaque caractère tiré indépendamment — est ce qui rend une valeur difficile à deviner.
  • L’entropie le mesure. L’entropie, en bits, vaut environ log2(taille du jeu) × longueur. L’outil la calcule pour vous et la classe en Faible / Bonne / Forte. Plus de caractères et un jeu plus large montent l’entropie.

La règle pratique : long, aléatoire, unique par site, et laissez un gestionnaire retenir le reste.

Mot de passe, phrase secrète ou token

Le générateur propose trois modes, et chacun convient à un usage distinct :

  • Mot de passe — une chaîne de caractères aléatoires (minuscules, majuscules, chiffres, symboles). Idéal quand une machine le stocke pour vous. Long et dense égale fort ; le défaut, c’est qu’il est intordable, ce qui ne pose pas de problème puisque vous le collerez.
  • Phrase secrète — plusieurs mots aléatoires reliés par un séparateur (par défaut -, par ex. canyon-ember-river-quartz). Quatre mots ou plus sont à la fois mémorisables et solides, car la liste de mots est grande et chaque mot apporte une entropie notable. C’est le meilleur choix pour un mot de passe maître ou tout élément que vous devez taper et retenir.
  • Token — une chaîne hexadécimale en minuscules (les caractères 0-9 et a-f). Les tokens servent aux secrets entre machines : clés d’API, secrets client, identifiants de session. Ils ne sont pas faits pour être tapés par un humain, mais pour être copiés dans un fichier de configuration.

Choisissez mot de passe pour les comptes courants, phrase secrète pour ce que vous garderez en tête, et token pour les identifiants programmatiques.

Étape par étape : générer un secret

Ouvrez le générateur de mots de passe et tokens et suivez ce déroulé.

  1. Choisissez un mode. En haut, sélectionnez Mot de passe, Token ou Phrase secrète. Les contrôles en dessous s’adaptent.
  2. Réglez la forme.
    • En mode Mot de passe, déplacez le curseur Longueur (4-128, défaut 16) et activez les jeux de caractères — Minuscules, Majuscules, Chiffres, Symboles et Exclure les caractères ambigus (qui retire les sosies comme 0/O et 1/l).
    • En mode Token, réglez la Longueur (4-128, défaut 32). Les tokens sont toujours en hex minuscules ; il n’y a pas d’options de jeu ni de format.
    • En mode Phrase secrète, réglez Mots (3-12, défaut 4) et tapez un Séparateur (jusqu’à 4 caractères, défaut -).
  3. Réglez le Nombre (1-50) si vous voulez plusieurs valeurs à la fois.
  4. Appuyez sur Générer. Les résultats apparaissent dans une liste. Chaque valeur porte une étiquette de Force — Faible, Bonne ou Forte — selon son entropie.
  5. Copiez ce qu’il vous faut. Utilisez Copier par ligne pour une valeur, Régénérer pour refaire une seule ligne, Tout copier pour tout, ou Effacer pour recommencer.

Si votre navigateur manque de Web Crypto (rare, mais possible dans des contextes non sécurisés), l’outil désactive la génération avec un avertissement plutôt que de tomber sur une source aléatoire faible.

Pourquoi la génération locale compte

Générer un mot de passe « en ligne » signifie généralement que le serveur du site le produit et vous le renvoie — autrement dit, le serveur l’a vu. Même les sites honnêtes journalisent les requêtes ; ceux qui sont compromis ou malveillants peuvent enregistrer chaque valeur générée. Cette copie, qui traîne dans un journal, anéantit tout l’intérêt d’un mot de passe fort.

L’API Web Crypto (crypto.getRandomValues) renverse la logique : le hasard est produit dans votre navigateur et la valeur finie va directement dans votre presse-papiers. Aucune requête ne transporte le secret, aucun serveur ne le voit jamais, aucune entrée de journal ne peut fuir. Pour ce à quoi vous confiez un compte, c’est la propriété que vous voulez.

Limites et honnêteté

Quelques contraintes à connaître, pour que l’outil soit bien ce que vous attendez :

  • Le mode Token est hex uniquement. Les tokens sont toujours en hexadecimal minuscule (0123456789abcdef). Pas d’options pour majuscules, accolades ou format avec tirets ; si vous voulez un autre format, transformez l’hex après copie.
  • Les mots des phrases secrètes viennent d’une liste fixe. La liste de 24 mots est courte à dessein (des mots mémorisables), donc l’entropie de la phrase vient surtout du nombre, pas d’un vocabulaire immense. Utilisez 4 mots ou plus pour ce qui est sensible.
  • Des plages bornées. Le nombre plafonne à 50 par génération, et la longueur de mot de passe/token va de 4 à 128. Cela couvre les usages réalistes ; l’outil n’est pas un pipeline de secrets en masse.

FAQ

Est-il sûr de générer des mots de passe en ligne ?

Tout dépend la génération a lieu. Si un serveur construit le mot de passe et le renvoie, ce serveur a vu votre secret et vous lui faites confiance pour ne pas le journaliser ni le divulguer. Cet outil génère en local dans votre navigateur avec Web Crypto, donc la valeur est créée sur votre appareil et n’est jamais transmise. Pour les identifiants, la génération locale est le défaut sûr.

Faut-il choisir une phrase secrète ou un mot de passe ?

Utilisez une phrase secrète quand vous devez la retenir et la taper vous-même — un mot de passe maître, une phrase pour le chiffrement du disque, une ouverture de session d’appareil. Quatre mots ou plus sont mémorisables et solides. Utilisez un mot de passe (caractères aléatoires denses) quand un gestionnaire le stocke et que vous ne ferez que le coller, car il maximise l’entropie par caractère mais reste impossible à mémoriser.

Qu’est-ce qu’un token par rapport à un mot de passe ?

Un token ici est une chaîne hexadécimale minuscule destinée aux machines — une clé d’API, un secret client, un identifiant de session que vous collez dans un fichier de configuration. Un mot de passe est une chaîne de caractères mixtes destinée (à l’origine) à l’authentification humaine. Les tokens sont de l’hex uniforme précisément parce qu’ils n’ont pas à être tapés ni retenus, seulement copiés.

Quelle force est suffisante ?

Pour les comptes importants, visez la bande Forte — environ 80 bits d’entropie ou plus, ce qu’un mot de passe de 16 caractères avec un jeu complet ou une phrase secrète de 5 à 6 mots dépasse largement. Pour des connexions à faible enjeu, Bonne est acceptable. Évitez Faible pour ce qui compte ; cela signifie généralement que la valeur est trop courte ou le jeu de caractères trop étroit.

iGotTools

Commencer avec cet outil

Commencer