Vérificateur de Mots de Passe
Analyser l'entropie du mot de passe, le temps estimé de cassage et les schémas de vulnérabilité.
Comment la solidité d'un mot de passe est mesurée
Les compteurs de mots de passe traditionnels vérifient les majuscules, minuscules, chiffres et symboles. Cette approche est fondamentalement défaillante car 'P@ssw0rd!' passe toutes les règles mais apparaît dans la plupart des listes de mots de passe piratés. Les vrais attaquants utilisent des dictionnaires, des bases de schémas et des tables de substitution l33t, pas des règles de classes de caractères.
zxcvbn, la bibliothèque qui alimente cet outil, a été développée par l'équipe de sécurité de Dropbox et adopte une approche différente. Elle décompose un mot de passe en schémas qu'un attaquant exploiterait réellement : mots de dictionnaire, parcours clavier ('azerty'), dates, séquences répétées et substitutions courantes. Elle estime ensuite le nombre de tentatives nécessaires et le traduit en temps de cassage basé sur des vitesses d'attaque réalistes.
L'entropie, affichée en bits, représente le caractère aléatoire théorique de votre mot de passe. Plus l'entropie est élevée, plus il y a de combinaisons possibles qu'un attaquant doit essayer. Un mot de passe véritablement aléatoire de 20 caractères d'un gestionnaire de mots de passe a typiquement 120+ bits d'entropie, tandis que le mot de passe moyen choisi par l'utilisateur en a 20-40. L'écart entre ces deux chiffres explique pourquoi les professionnels de la sécurité recommandent systématiquement les gestionnaires de mots de passe.
Questions fréquentes
Comment fonctionne ce vérificateur de mots de passe ?
Cet outil utilise zxcvbn, un estimateur de solidité de mot de passe open-source développé par Dropbox. Au lieu de s'appuyer sur des règles simplistes comme la longueur minimale ou les caractères spéciaux obligatoires, zxcvbn analyse votre mot de passe par rapport aux schémas courants : mots de dictionnaire, séquences de clavier, caractères répétés, substitutions l33t et mots de passe piratés connus. Il estime le temps qu'un attaquant réel mettrait à le casser.
Mon mot de passe est-il envoyé à un serveur ?
Non. Toute l'analyse s'exécute dans votre navigateur en JavaScript. Votre mot de passe ne quitte jamais votre appareil, n'est jamais transmis sur le réseau et n'est jamais stocké dans les cookies, le stockage local ou les paramètres d'URL. Vous pouvez le vérifier en vous déconnectant d'Internet et en utilisant l'outil hors ligne.
Quel est un bon score de solidité de mot de passe ?
Le score 4 (très solide) signifie un temps estimé de plus de 10 ans pour le casser, même avec du matériel dédié. Le score 3 (solide) signifie des mois à des années. Tout ce qui est en dessous de 3 devrait être amélioré. zxcvbn évalue les schémas d'attaque réels, donc un score de 4 est un indicateur bien plus fiable que le respect de règles de complexité arbitraires.
Pourquoi 'Tr0ub4dor&3' n'est-il pas un mot de passe solide ?
Les substitutions courantes de lettres par des chiffres (a en @, o en 0, e en 3) sont bien connues des pirates et font partie des premiers schémas testés. La bande dessinée xkcd #936 l'a parfaitement illustré : malgré son apparence complexe, 'Tr0ub4dor&3' a environ 28 bits d'entropie, tandis qu'une phrase de passe comme 'correct horse battery staple' en a environ 44 et est plus facile à retenir.
Qu'est-ce qui rend un mot de passe solide ?
La longueur est primordiale. Un mot de passe de 16+ caractères utilisant des mots aléatoires (une phrase de passe) est à la fois solide et mémorable. Évitez les mots du dictionnaire seuls, les informations personnelles (noms, dates de naissance), les séquences de clavier (azerty, 12345) et les substitutions courantes. Un mot de passe véritablement aléatoire d'un gestionnaire de mots de passe est la référence, mais une phrase de 4-5 mots est une alternative pratique.