Passefort Créer un mot de passe

Catégorie : Mots de passe

  • Peut-on faire confiance à un générateur de mots de passe ?

    Vérifier avant de générer

    Peut-on faire confiance à un générateur de mots de passe ?

    Oui, si l’outil utilise une source cryptographique, travaille localement et permet de contrôler ce que fait son code.

    Réponse immédiate : oui, à condition que le générateur emploie une source aléatoire cryptographique, génère le résultat sur votre appareil, ne le transmette pas et soit chargé par une connexion HTTPS fiable. Écartez les outils opaques qui utilisent Math.random(), promettent d’envoyer le résultat par e-mail ou enregistrent un historique sur leur serveur.

    Checklist technique pour vérifier un générateur de mots de passe local et cryptographique
    Illustration prévue : source d’aléa, lieu de génération, réseau et transparence du code sont vérifiés séparément.

    Les cinq critères de confiance

    Aléa cryptographique

    L’outil utilise l’API cryptographique du système ou du navigateur.

    Génération locale

    Le secret est calculé dans l’appareil, sans requête vers un serveur.

    Absence de biais

    La sélection ne favorise pas certains caractères par une réduction naïve.

    Code contrôlable

    La méthode est expliquée et peut être inspectée dans le navigateur.

    Ce que fait précisément Passefort

    Le générateur appelle window.crypto.getRandomValues(), l’API documentée par les navigateurs pour obtenir des valeurs adaptées à un usage cryptographique. Il rejette les valeurs situées au-delà d’une limite calculée avant d’appliquer le modulo : cette technique évite de favoriser certains indices lorsque la taille de l’alphabet ne divise pas exactement l’espace des nombres tirés.

    Il impose ensuite au moins un caractère de chaque famille sélectionnée, complète la longueur demandée et mélange le résultat avec Fisher–Yates en utilisant la même source sûre. Si l’API cryptographique n’est pas disponible, il affiche une erreur au lieu de revenir à une méthode moins robuste.

    Vérification du comportement réseau

    Le code de génération de Passefort ne contient ni fetch(), ni XMLHttpRequest, ni stockage local du mot de passe. Le presse-papiers n’est sollicité que lorsque vous choisissez « Copier ». Consultez le détail sur la page Comment ça marche ?.

    Les signes d’un outil à éviter

    • Il propose d’envoyer ou de sauvegarder le mot de passe en clair.
    • Il utilise Math.random() comme seule source de tirage.
    • Il exige un compte sans raison pour générer un simple secret.
    • Il produit toujours des structures similaires ou des fragments de mots.
    • Il ne fonctionne que par une requête distante impossible à justifier.
    • Il est intégré à une page non sécurisée ou chargée depuis un domaine inattendu.
    Exemple original

    Un générateur affiche toujours deux majuscules, six minuscules puis deux chiffres. Même si chaque caractère paraît aléatoire, la structure fixe réduit les possibilités. Un outil fiable explique ses contraintes et mélange l’ensemble du résultat.

    Ce qu’un bon générateur ne résout pas

    Un excellent tirage devient inutile si vous réutilisez le résultat, le collez sur un faux site ou le laissez dans une note publique. Utilisez une longueur suffisante, enregistrez-le dans un gestionnaire, gardez-le unique et activez la 2FA.

    Guides associés

    Sources techniques primaires

    Testez directement la génération locale.

    Le résultat est produit dans votre navigateur et n’est pas enregistré.

    Ouvrir Passefort
  • Qu’est-ce qu’un gestionnaire de mots de passe ?

    Un coffre pour vos comptes

    Qu’est-ce qu’un gestionnaire de mots de passe ?

    Il crée, conserve et remplit vos identifiants afin que chaque compte puisse avoir un secret réellement unique.

    Réponse immédiate : un gestionnaire de mots de passe est un coffre chiffré qui enregistre des identifiants uniques, les génère et les remplit pour vous. Vous ne mémorisez plus tous vos mots de passe : vous protégez principalement le mot de passe maître et les moyens de récupération du coffre.

    Coffre chiffré contenant des mots de passe uniques pour plusieurs comptes
    Illustration prévue : un coffre central facilite surtout l’unicité des identifiants.

    Comment fonctionne-t-il ?

    Le coffre conserve vos entrées sous une forme chiffrée. Selon l’outil, il reste uniquement sur un appareil ou se synchronise entre plusieurs appareils. Au moment de la connexion, l’application reconnaît le site et propose l’identifiant correspondant. Cette association au domaine aide aussi à éviter de remplir un mot de passe sur une imitation grossière.

    Exemple original

    Pour boutique-exemple.fr, le coffre enregistre un secret de 24 caractères. Sur boutique-exemp1e.fr, il ne propose rien : ce silence invite Camille à vérifier l’adresse avant de saisir quoi que ce soit.

    Pourquoi est-il nécessaire ?

    • Il rend praticable la règle un mot de passe unique par compte.
    • Il génère des secrets longs sans modèle humain prévisible.
    • Il réduit les erreurs de saisie et la tentation de raccourcir les mots de passe.
    • Il permet de retrouver les comptes oubliés et de remplacer les anciens doublons.
    • Certains outils signalent les mots de passe réutilisés ou exposés.

    Comment choisir un gestionnaire ?

    Chiffrement documenté

    L’éditeur explique ce qui est chiffré et où se trouvent les clés.

    Mises à jour suivies

    Le produit et ses extensions reçoivent des correctifs réguliers.

    Export et sauvegarde

    Vous pouvez récupérer vos données dans un format exploitable.

    Protection multifacteur

    Le compte de synchronisation accepte une méthode forte.

    Les gestionnaires intégrés aux navigateurs et systèmes peuvent suffire pour de nombreux particuliers. Un outil dédié peut offrir davantage de partage familial, d’audit, de portabilité ou de contrôle. Le bon choix est celui que vous utiliserez effectivement sur tous vos appareils.

    Bien démarrer

    1. Créez une phrase maîtresse longue et aléatoire, jamais utilisée ailleurs.
    2. Activez la double authentification du compte de synchronisation.
    3. Conservez ses codes de récupération hors du coffre si celui-ci est le seul moyen d’y accéder.
    4. Importez vos identifiants, puis supprimez le fichier d’import non chiffré.
    5. Commencez par remplacer les mots de passe de la messagerie et des comptes sensibles.
    6. Testez la restauration avant d’avoir réellement besoin de récupérer le coffre.
    Un coffre central n’annule pas tous les risques

    Protégez les appareils, installez les mises à jour et refusez toute demande inattendue de mot de passe maître. Un gestionnaire améliore fortement l’hygiène des mots de passe, mais ne remplace pas l’authentification multifacteur.

    Guides associés

    Sources officielles consultées

    Alimentez votre coffre avec un secret vraiment unique.

    Générez-le localement, puis enregistrez-le immédiatement.

    Créer un mot de passe
  • Pourquoi ne faut-il jamais réutiliser un mot de passe ?

    Un compte, un secret

    Pourquoi ne faut-il jamais réutiliser un mot de passe ?

    Une fuite sur un service peu important peut ouvrir votre messagerie, vos achats ou vos réseaux sociaux.

    Réponse immédiate : lorsqu’un mot de passe réutilisé fuit, des attaquants peuvent le tester automatiquement avec votre adresse e-mail sur de nombreux autres sites. Un seul incident devient alors une compromission en chaîne. La protection efficace consiste à utiliser un mot de passe unique par compte.

    Une clé réutilisée ouvrant plusieurs comptes après une fuite de données
    Illustration prévue : une même clé transforme plusieurs comptes indépendants en une seule surface d’attaque.

    Comment l’attaque se déroule

    Un service est compromis

    Une base contenant des adresses et des empreintes de mots de passe est volée.

    Les secrets faibles sont retrouvés

    Les attaquants exploitent dictionnaires, variantes connues ou protections de stockage insuffisantes.

    Les identifiants sont testés ailleurs

    Des logiciels essaient automatiquement les mêmes couples e-mail/mot de passe sur d’autres services.

    Les comptes rentables sont exploités

    Messagerie, achats, réseaux sociaux et comptes professionnels peuvent être détournés.

    Cette méthode est appelée bourrage d’identifiants ou credential stuffing. La robustesse initiale du mot de passe ne corrige pas le problème : s’il est connu, sa longueur n’a plus d’importance.

    Les petites variantes ne suffisent pas

    Exemple original

    Mistral!Boutique, Mistral!Banque et Mistral!Mail semblent différents, mais révèlent le même modèle. Après une fuite, les suffixes deviennent faciles à deviner. Il faut générer trois secrets sans structure commune.

    Ajouter le nom du site, changer l’année ou incrémenter un chiffre reste une forme de réutilisation. Les règles d’attaque intègrent précisément ces transformations humaines courantes.

    Comment sortir de la réutilisation

    1. Installez ou choisissez un gestionnaire de mots de passe.
    2. Commencez par la messagerie, la banque, l’administration et les comptes professionnels.
    3. Pour chaque compte, générez un secret différent de 20 caractères avec le générateur Passefort.
    4. Activez l’authentification à deux facteurs.
    5. Remplacez ensuite les doublons au fil de vos connexions.
    Vous venez d’apprendre qu’un ancien mot de passe a fuité ?

    Ne modifiez pas seulement le site concerné. Suivez la procédure mot de passe compromis et changez toutes ses réutilisations et variantes.

    Guides associés

    Sources officielles consultées

    Remplacez aujourd’hui un mot de passe réutilisé.

    Une nouvelle combinaison unique se crée en quelques secondes.

    Générer un secret unique
  • Mot de passe aléatoire ou phrase de passe : que choisir ?

    Deux méthodes sûres

    Mot de passe aléatoire ou phrase de passe : que choisir ?

    Le meilleur format dépend surtout de la manière dont vous allez saisir et conserver le secret.

    Réponse immédiate : utilisez un mot de passe aléatoire pour les comptes enregistrés dans un gestionnaire, et une phrase de passe aléatoire pour les rares secrets que vous devez mémoriser ou saisir souvent, comme le mot de passe maître. Les deux méthodes sont solides si le tirage est réellement aléatoire, suffisamment long et unique.

    Un mot de passe aléatoire et une phrase de passe placés sur deux chemins selon leur usage
    Illustration prévue : le format dépend de l’usage, pas d’une supériorité absolue d’une méthode.

    La comparaison en un coup d’œil

    CritèreMot de passe aléatoirePhrase de passe
    Exemple illustratifG7!qL2@vN9#xR4mangue-rivage-lampe-tulipe-orbite
    Usage idéalGestionnaire et remplissage automatiqueSecret mémorisé et saisi à la main
    Longueur conseillée16 à 24 caractères ou plus5 à 7 mots aléatoires
    Risque principalImpossible à mémoriserMots choisis comme une citation prévisible

    Les exemples ci-dessus sont publics et ne doivent jamais être utilisés tels quels.

    Quand choisir un mot de passe aléatoire ?

    Choisissez-le pour la banque, la messagerie, les réseaux sociaux, les boutiques et tous les comptes gérés automatiquement. Il exploite efficacement l’alphabet autorisé par le service et ne dépend pas d’informations personnelles.

    Exemple original

    Léa crée un compte de billetterie. Son gestionnaire génère 24 caractères, les enregistre et remplit le formulaire. Elle n’a aucune raison de connaître ce secret : elle doit seulement protéger son coffre et ses moyens de récupération.

    Quand choisir une phrase de passe ?

    Une phrase de passe convient au mot de passe maître d’un gestionnaire, au chiffrement d’un ordinateur ou à un accès que vous devez taper sur un appareil partagé. Les mots doivent provenir d’un tirage indépendant, et non d’une chanson, d’un proverbe ou d’une histoire personnelle.

    Une phrase naturelle n’est pas forcément aléatoire

    JadoreLesVacancesEnBretagne! est longue, mais ses mots et sa structure sont prévisibles. Préférez le générateur de phrases de passe, qui tire les mots localement.

    La règle de décision

    Le secret sera rempli automatiquement

    Générez 20 à 24 caractères et conservez-les dans votre gestionnaire.

    Vous devez le mémoriser

    Tirez au moins cinq mots aléatoires et entraînez-vous à les rappeler sans créer d’histoire trop évidente.

    Le service impose des règles

    Respectez-les, puis choisissez la plus grande longueur acceptée.

    Dans tous les cas

    Gardez le secret unique et activez l’authentification à deux facteurs.

    Guides associés

    Sources officielles consultées

    Besoin d’un secret que vous n’aurez pas à inventer ?

    Choisissez le format et laissez le navigateur effectuer le tirage.

    Générer un mot de passe
  • Combien de caractères doit avoir un mot de passe ?

    Longueur et robustesse

    Combien de caractères doit avoir un mot de passe ?

    Un repère simple pour choisir la bonne longueur sans confondre longueur, complexité et sécurité réelle.

    Réponse immédiate : choisissez au moins 16 caractères pour un compte classique et davantage lorsque le service l’accepte. Pour un secret que vous devez mémoriser, préférez une phrase de passe composée d’au moins cinq mots tirés au hasard. La longueur ne suffit toutefois pas : le secret doit aussi être unique et imprévisible.

    Comparaison visuelle de mots de passe de 12, 16, 20 et 24 caractères
    Illustration prévue : la longueur augmente le nombre de combinaisons, à condition que les caractères soient réellement imprévisibles.

    Les longueurs à retenir

    SituationConseil pratique
    Compte protégé uniquement par un mot de passe16 caractères ou plus
    Compte avec authentification multifacteur16 caractères restent un excellent repère
    Mot de passe généré et conservé dans un gestionnaire20 à 24 caractères, ou le maximum accepté
    Phrase de passe mémorisée5 à 7 mots aléatoires
    Wi-Fi ou compte particulièrement sensible20 caractères ou davantage

    Le NIST demande aux services d’imposer au moins 15 caractères lorsqu’un mot de passe constitue l’unique facteur d’authentification, et de permettre au moins 64 caractères. Passefort retient donc 16 caractères comme repère facile à appliquer, pas comme frontière magique.

    Pourquoi la longueur est-elle si importante ?

    Chaque caractère aléatoire ajoute des possibilités. Mais le calcul théorique ne vaut que si le choix est vraiment imprévisible. Une suite de 20 caractères comme AlexandreParis2026! peut être longue tout en restant devinable, car elle combine un prénom, un lieu et une année.

    Exemple original

    m7#Vq2!zL9@pR4$xT8 est adapté à un gestionnaire. galet-velours-orbite-citron-boussole illustre une phrase de passe mémorisable. Ne reprenez pas ces exemples publiés : générez les vôtres.

    Longueur, complexité et entropie

    Longueur

    Le nombre de caractères ou de mots composant le secret.

    Complexité

    La variété des minuscules, majuscules, chiffres et symboles.

    Entropie

    Une estimation de l’imprévisibilité lorsque les choix sont uniformément aléatoires.

    Unicité

    L’assurance que le secret n’ouvre qu’un seul compte.

    Ajouter un point d’exclamation à un mot courant augmente la complexité apparente, mais très peu l’imprévisibilité. À l’inverse, un secret long produit par un générateur fiable offre une base bien plus solide.

    Comment choisir concrètement ?

    1. Pour un secret que vous n’avez pas à mémoriser, ouvrez le générateur Passefort et choisissez 20 caractères ou plus.
    2. Enregistrez-le dans un gestionnaire de mots de passe.
    3. Ne le réutilisez jamais sur un autre service.
    4. Activez l’authentification à deux facteurs.
    5. Ne changez pas périodiquement un bon mot de passe sans raison ; remplacez-le s’il est compromis, partagé ou réutilisé.

    Guides associés

    Sources officielles consultées

    Créez un mot de passe de 20 caractères.

    Génération locale, sans envoi ni enregistrement.

    Ouvrir le générateur