MyToolbox

Analyseur de force de mot de passe – Tester la sécurité et l'entropie

Analysez un mot de passe : score de force, entropie, temps de cassure estimé et conseils d'amélioration. Analyse 100 % locale dans le navigateur.

Soutenez le projet

J’ai choisi de limiter les publicités pour garder l’expérience simple et agréable. Si cet outil vous a été utile, vous pouvez m’aider à le faire vivre — chaque geste compte pour un développeur solo.

Me supporter ❤️

L’analyseur de force de mot de passe permet d’évaluer la solidité d’un mot de passe sans jamais l’envoyer à un serveur. Vous obtenez un score, une estimation du temps de cassure et des recommandations concrètes.

Description

Cet outil analyse un mot de passe saisi par vos soins et fournit :

  • Un score de force (0 à 100) et un libellé (Faible, Correct, Fort, Très fort).
  • La longueur en caractères et en octets UTF-8 (utile pour la limite bcrypt de 72 octets).
  • La variété des caractères (minuscules, majuscules, chiffres, symboles).
  • Une estimation du temps de cassure selon plusieurs scénarios (attaque en ligne limitée, en ligne rapide, hachage lent type bcrypt, hachage rapide type SHA).
  • Des avertissements (mot de passe courant, trop court, motifs prévisibles).
  • Des recommandations pour renforcer le mot de passe.

L’analyse repose sur un moteur de type zxcvbn (détection de mots du dictionnaire, séquences, répétitions, motifs clavier). Tout est exécuté localement dans votre navigateur : le mot de passe n’est ni stocké ni transmis.

Comment faire

  1. Saisissez ou collez le mot de passe à analyser dans le champ prévu (le champ est masqué par défaut ; vous pouvez afficher le mot de passe avec le bouton « Afficher »).
  2. Cliquez sur « Analyser la force ».
  3. Consultez le résultat : score, longueur, variété, temps de cassure estimé, avertissements et recommandations.
  4. Utilisez les conseils proposés pour améliorer votre mot de passe si besoin, ou générez un mot de passe fort avec notre outil dédié.

Exemples

  • Mot de passe vide : score 0, message invitant à saisir un mot de passe.
  • 123456 : score faible, détection de séquence numérique et de longueur insuffisante ; temps de cassure très court.
  • P@ssw0rd : score faible à correct selon le moteur ; motifs courants et substitutions prévisibles souvent détectés.
  • Une phrase de passe longue et peu courante (plusieurs mots aléatoires) : score généralement élevé, temps de cassure long.

Les valeurs exactes (score, temps affiché) dépendent de l’algorithme utilisé et peuvent varier légèrement selon les mises à jour de l’outil.

Cas d’usage

  • Vérifier un nouveau mot de passe avant de l’enregistrer sur un site ou une application.
  • Comprendre pourquoi un site refuse un mot de passe (trop faible, trop court, liste noire).
  • Sensibiliser à la force des mots de passe (formation, usage pro).
  • Vérifier la longueur en octets pour des systèmes qui utilisent bcrypt (limite 72 octets).

Limites et bonnes pratiques

  • Les temps de cassure sont des estimations (ordre de grandeur). Ils dépendent du modèle d’attaque, du débit des tentatives, de l’algorithme de hachage (bcrypt, SHA, etc.) et des contre-mesures (limitation de débit, verrouillage).
  • L’outil ne vérifie pas si le mot de passe a déjà fuité (base de données compromise). Pour cela, utilisez des services dédiés (Have I Been Pwned, etc.) en toute connaissance des risques de confidentialité.
  • Ne saisissez pas un mot de passe que vous utilisez déjà sur un site sensible si vous n’êtes pas à l’aise avec l’environnement (ordinateur partagé, réseau non fiable). L’outil ne transmet rien au serveur, mais la prudence reste de mise.
  • Recommandations générales : au moins 12 caractères (idéalement 16 ou plus), variété de caractères, pas de mots du dictionnaire ni de séquences évidentes, pas de réutilisation entre les sites importants.

Sécurité et confidentialité

  • Aucune donnée n’est envoyée au serveur. L’analyse est effectuée entièrement dans votre navigateur (JavaScript côté client).
  • Le mot de passe n’est pas stocké dans l’URL, dans le stockage local ni dans des analytics.
  • En cas d’erreur ou de plantage, le mot de passe n’est pas inclus dans les rapports d’erreur.
  • Pour une confidentialité maximale, utilisez l’outil dans une fenêtre de navigation privée ou sur un appareil de confiance si vous testez un mot de passe réel.

Alternatives

  • Gestionnaires de mots de passe : beaucoup intègrent un indicateur de force et des générateurs.
  • Outil de génération : sur ce site, le générateur de mot de passe permet de créer des mots de passe forts sans jamais les envoyer à un serveur.
  • Have I Been Pwned (HIBP) : pour vérifier si un mot de passe est apparu dans des fuites (méthode k-anonymité possible ; à utiliser en connaissance des implications).

FAQ

L’outil envoie-t-il mon mot de passe sur Internet ?

Non. L’analyse est effectuée uniquement dans votre navigateur. Aucune requête ne contient votre mot de passe ; rien n’est stocké côté serveur.

Pourquoi afficher la longueur en octets (UTF-8) ?

Certains algorithmes, comme bcrypt, ne prennent en compte que les 72 premiers octets du mot de passe. Un mot de passe avec beaucoup de caractères spéciaux ou non-ASCII peut dépasser 72 octets alors qu’il a moins de 72 caractères. L’outil vous alerte si vous atteignez cette limite.

Comment est calculé le score ?

Le score (0–100) est dérivé d’un moteur de type zxcvbn qui estime le nombre de tentatives nécessaires pour deviner le mot de passe (dictionnaires, séquences, répétitions, motifs clavier, etc.). Ce nombre est converti en une note 0–4 puis en 0–100 pour l’affichage.

Les temps de cassure sont-ils réalistes ?

Ce sont des estimations (ordre de grandeur). En pratique, le temps dépend du type d’attaque (en ligne avec limite de débit, hors ligne avec hachage rapide ou lent), des contre-mesures du site et du matériel de l’attaquant. Ils servent à comparer la robustesse relative des mots de passe plutôt qu’à prédire un délai exact.

Que faire si mon mot de passe est jugé « très courant » ?

Choisissez un autre mot de passe : évitez les entrées des listes les plus courantes (123456, password, etc.). Utilisez une phrase de passe ou un générateur de mot de passe pour obtenir une combinaison plus difficile à deviner.

Puis-je utiliser l’outil pour un mot de passe professionnel ?

L’outil ne transmet rien au serveur. Si la politique de sécurité de votre entreprise autorise à saisir des mots de passe dans un navigateur sur un poste de confiance, vous pouvez l’utiliser pour évaluer la force. En cas de doute, privilégiez un outil interne ou un gestionnaire de mots de passe approuvé.

Pourquoi « Analyse en cours » prend-elle un peu de temps ?

Le moteur d’analyse (dictionnaires, motifs) est chargé à la demande et exécuté dans le navigateur. Un court délai minimal est aussi appliqué pour éviter un affichage instantané et donner un retour visuel clair.

Une suggestion ou une demande d'outil ?

Vous avez repéré une erreur, vous souhaitez un nouvel outil ou vous avez un retour à partager ? Contactez-moi par email, je serais ravi d'échanger avec vous.

Recherche d'outils

Recherchez par nom, catégorie ou mot-clé.