Passefort Créer un mot de passe

Peut-on faire confiance à un générateur de mots de passe ?

Vérifier avant de générer

Peut-on faire confiance à un générateur de mots de passe ?

Oui, si l’outil utilise une source cryptographique, travaille localement et permet de contrôler ce que fait son code.

Réponse immédiate : oui, à condition que le générateur emploie une source aléatoire cryptographique, génère le résultat sur votre appareil, ne le transmette pas et soit chargé par une connexion HTTPS fiable. Écartez les outils opaques qui utilisent Math.random(), promettent d’envoyer le résultat par e-mail ou enregistrent un historique sur leur serveur.

Checklist technique pour vérifier un générateur de mots de passe local et cryptographique
Illustration prévue : source d’aléa, lieu de génération, réseau et transparence du code sont vérifiés séparément.

Les cinq critères de confiance

Aléa cryptographique

L’outil utilise l’API cryptographique du système ou du navigateur.

Génération locale

Le secret est calculé dans l’appareil, sans requête vers un serveur.

Absence de biais

La sélection ne favorise pas certains caractères par une réduction naïve.

Code contrôlable

La méthode est expliquée et peut être inspectée dans le navigateur.

Ce que fait précisément Passefort

Le générateur appelle window.crypto.getRandomValues(), l’API documentée par les navigateurs pour obtenir des valeurs adaptées à un usage cryptographique. Il rejette les valeurs situées au-delà d’une limite calculée avant d’appliquer le modulo : cette technique évite de favoriser certains indices lorsque la taille de l’alphabet ne divise pas exactement l’espace des nombres tirés.

Il impose ensuite au moins un caractère de chaque famille sélectionnée, complète la longueur demandée et mélange le résultat avec Fisher–Yates en utilisant la même source sûre. Si l’API cryptographique n’est pas disponible, il affiche une erreur au lieu de revenir à une méthode moins robuste.

Vérification du comportement réseau

Le code de génération de Passefort ne contient ni fetch(), ni XMLHttpRequest, ni stockage local du mot de passe. Le presse-papiers n’est sollicité que lorsque vous choisissez « Copier ». Consultez le détail sur la page Comment ça marche ?.

Les signes d’un outil à éviter

  • Il propose d’envoyer ou de sauvegarder le mot de passe en clair.
  • Il utilise Math.random() comme seule source de tirage.
  • Il exige un compte sans raison pour générer un simple secret.
  • Il produit toujours des structures similaires ou des fragments de mots.
  • Il ne fonctionne que par une requête distante impossible à justifier.
  • Il est intégré à une page non sécurisée ou chargée depuis un domaine inattendu.
Exemple original

Un générateur affiche toujours deux majuscules, six minuscules puis deux chiffres. Même si chaque caractère paraît aléatoire, la structure fixe réduit les possibilités. Un outil fiable explique ses contraintes et mélange l’ensemble du résultat.

Ce qu’un bon générateur ne résout pas

Un excellent tirage devient inutile si vous réutilisez le résultat, le collez sur un faux site ou le laissez dans une note publique. Utilisez une longueur suffisante, enregistrez-le dans un gestionnaire, gardez-le unique et activez la 2FA.

Guides associés

Sources techniques primaires

Testez directement la génération locale.

Le résultat est produit dans votre navigateur et n’est pas enregistré.

Ouvrir Passefort