EN FR

Générateur de mot de passe & Calculateur de hachage

Générer un mot de passe sécurisé en ligne

Générez des mots de passe cryptographiquement sécurisés avec analyse d'entropie. Hachez n'importe quel texte avec MD5, SHA-1, SHA-256, SHA-512. 100% côté client.
Cliquez sur Générer
--
-- Entropie (bits)
-- Taille du jeu
-- Longueur
-- Combinaisons
Générez un mot de passe pour voir le temps de cassage
Basé sur 100 milliards de tentatives/seconde (cluster de GPU)
Longueur
20
Quantité
1
Jeux de caractères
Exclusions
Pourquoi les phrases de passe ? Quatre mots aléatoires comme "ocean-érable-pont-tonnerre" sont plus faciles à retenir et statistiquement plus forts que "P@ssw0rd!". Ils tirent parti d'une grande entropie grâce au nombre de mots plutôt qu'à la complexité des caractères.
Cliquez sur Générer
--
--Entropie (bits)
--Mots
7776Taille du lexique (EFF)
--Longueur
Générez une phrase pour voir le temps de cassage
Attaque par dictionnaire à 10 000 essais/seconde
Nombre de mots
4
Séparateur
Ajoute une ligne HMAC‑SHA256
Algorithme Empreinte Sécurité
Saisissez du texte ci-dessus pour calculer les hachages

Génération sécurisée de mots de passe & hachage cryptographique

Ce générateur de mot de passe en ligne vous permet de créer des mots de passe forts et sécurisés avec entropie élevée. Idéal pour protéger vos comptes, API et bases de données.

Cet outil génère des mots de passe cryptographiquement sécurisés en utilisant l'API crypto.getRandomValues() du navigateur — la même source d'aléa utilisée par les logiciels de sécurité. Il n'utilise jamais Math.random(), qui n'est pas sécurisé cryptographiquement.

Comprendre l'entropie d'un mot de passe

L'entropie se mesure en bits et représente l'imprévisibilité d'un mot de passe. La formule est entropie = log2(taille_jeu ^ longueur). Un mot de passe de 20 caractères utilisant majuscules, minuscules, chiffres et symboles puise dans un jeu de 95 caractères, ce qui donne environ 131 bits d'entropie — pratiquement impossible à casser par force brute.

Pourquoi les phrases de passe sont souvent meilleures

Quatre mots aléatoires tirés de la liste EFF (7776 mots) donnent environ 51 bits d'entropie par mot, soit environ 103 bits pour 4 mots. Elles sont plus faciles à retenir que des caractères aléatoires et tout aussi solides pour la plupart des usages. Six mots dépassent 154 bits — plus fort que la plupart des mots de passe basés sur des caractères.

Comparaison des algorithmes de hachage

Utilisez ce tableau pour choisir le bon algorithme :

  • MD5 (128 bits) — cassé, des collisions existent. À n'utiliser que pour des sommes de contrôle, jamais pour la sécurité.
  • SHA-1 (160 bits) — déprécié pour la sécurité. Google a démontré une collision en 2017. À éviter.
  • SHA-256 (256 bits) — standard actuel. Utilisez pour l'intégrité des données, les signatures numériques, HMAC.
  • SHA-512 (512 bits) — variante plus forte. À utiliser quand une marge supplémentaire est nécessaire ou sur des systèmes 64 bits.
  • HMAC-SHA256 — hachage avec une clé secrète. Utilisez pour les signatures d'API et l'authentification de messages.

Pour le stockage de mots de passe, aucun de ces algorithmes n'est approprié seul — utilisez plutôt bcrypt, scrypt ou Argon2, qui sont volontairement lents et ajoutent un salage.

Foire Aux Questions

Ce générateur de mot de passe est-il vraiment sécurisé ?

Oui. Tout l'aléa provient de window.crypto.getRandomValues(), un générateur de nombres pseudo-aléatoires cryptographiquement sûr (CSPRNG) fourni par votre système d'exploitation. Rien n'est envoyé à un serveur — la génération a lieu entièrement dans votre navigateur.

Que signifie l'entropie pour un mot de passe ?

L'entropie mesure l'imprévisibilité en bits. Chaque bit supplémentaire double l'espace de recherche. À 60 bits, un mot de passe résiste à des attaques hors ligne d'un seul GPU pendant des années. À 128+ bits, il est informatiquement impossible à casser par force brute avec le matériel prévisible.

Quelle est la différence entre MD5 et SHA-256 ?

MD5 produit une empreinte de 128 bits et est cryptographiquement cassé — des collisions peuvent être calculées en quelques secondes. SHA-256 produit une empreinte de 256 bits et n'a pas de collision pratique connue. Utilisez SHA-256 pour tout ce qui touche à la sécurité ; MD5 seulement pour des sommes de contrôle non sécuritaires (ex. déduplication de fichiers).

Dois-je utiliser MD5 pour hacher des mots de passe ?

Jamais. MD5 (et même SHA-256) est trop rapide pour le hachage de mots de passe — un GPU moderne peut calculer des milliards de hachages MD5 par seconde, rendant les attaques par table arc-en-ciel triviales. Utilisez une fonction de dérivation de clé lente : bcrypt, scrypt ou Argon2id. Celles-ci ajoutent automatiquement un coût de calcul et un sel.

Qu'est-ce que HMAC et quand l'utiliser ?

HMAC (Hash-based Message Authentication Code) combine une fonction de hachage avec une clé secrète. Il prouve à la fois l'intégrité et l'authenticité d'un message. Utilisez HMAC-SHA256 pour les signatures de requêtes d'API, la vérification de webhooks et la validation de tokens JWT.

Quelle longueur doit avoir un mot de passe ?

Pour les comptes courants : au moins 16 caractères avec des jeux de caractères mixtes (~104 bits). Pour les comptes sensibles (banque, email, crypto) : 20+ caractères ou une phrase de passe de 6 mots (~154 bits). Avec un gestionnaire de mots de passe, utilisez toujours 20+ caractères aléatoires — vous n'avez pas besoin de les retenir.

Mon texte est-il envoyé à un serveur lorsque je le hache ?

Non. Tous les calculs de hachage utilisent l'API SubtleCrypto du navigateur (pour les variantes SHA) et une implémentation JavaScript pure (pour MD5). Votre texte ne quitte jamais votre machine.

Autres outils utiles