Qu'est-ce que Vérificateur de robustesse de mot de passe ?

Un vérificateur de robustesse de mot de passe analyse votre mot de passe en temps réel pour évaluer sa résistance aux tentatives de piratage. Il détecte les schémas courants, les mots du dictionnaire et l'entropie pour vous fournir un score de sécurité précis. Utilisez-le pour vous assurer que vos mots de passe respectent les normes de sécurité actuelles.

L'analyseur s'appuie sur zxcvbn, la bibliothèque open-sourcée par Dropbox, qui connaît 30 000 mots de passe courants, des bases de fuites, des dictionnaires anglais et de noms de famille, plus les motifs prévisibles : dates, parcours clavier, substitutions l33t. Le score va de 0 à 4 avec des temps de crack dans quatre scénarios, de l'attaque en ligne ralentie aux fermes de GPU hors-ligne.

Comment utiliser

1. Saisissez ou collez votre mot de passe dans le champ de saisie pour lancer l'analyse
2. Consultez le score de robustesse, le temps de craquage estimé et les retours spécifiques sur les faiblesses détectées
3. Améliorez votre mot de passe en suivant les suggestions jusqu'à obtenir une note forte ou très forte

Quand l'utiliser

• Vérifier un mot de passe mémorisable avant de l'adopter comme maître du gestionnaire.
• Tester la politique de mot de passe au boulot : 'NomEntreprise2024!' passe-t-il vraiment la barre ?
• Montrer à un proche peu technique pourquoi le nom du chat ne fait pas un bon mot de passe.

Résultat

Saisissez 'Tr0ub4dor&3' pour constater qu'il obtient un score modéré — bien qu'il utilise des caractères variés, il suit un schéma de substitution prévisible. Comparez avec une phrase aléatoire comme 'correct-horse-battery-staple' qui obtient un score plus élevé malgré l'utilisation exclusive de lettres minuscules et de tirets.

FAQ

Que veut dire chaque note de 0 à 4 ?

0 se devine en moins d'une seconde par n'importe quelle attaque en ligne. 1 tient des heures en ligne, quelques secondes hors-ligne. 2 résiste en ligne mais tombe hors-ligne. 3 est correct. 4 demande des siècles même face à une ferme GPU à 10 milliards d'essais par seconde.

Pourquoi 'Tr0ub4dor&3' note moins bien que 'correct horse battery staple' ?

Le premier suit un motif connu : mot du dictionnaire + substitutions prévisibles (0 pour o, 4 pour a) + symbole + chiffre. Les listes de règles des attaquants testent ces combinaisons en priorité. Quatre mots aléatoires offrent bien plus d'entropie, le nombre de combinaisons de 4 mots dépasse de loin celui des variantes par substitution.

Mon mot de passe quitte-t-il l'appareil quand je le tape ici ?

Le calcul de robustesse s'exécute entièrement sur votre appareil, dans le JavaScript de cette page, et ne déclenche aucune requête réseau pendant la frappe. La seule exception facultative est la vérification des fuites : si vous l'activez, seuls les 5 premiers caractères de l'empreinte SHA-1 du mot de passe sont envoyés (k-anonymity), donc le mot de passe lui-même ne quitte jamais le champ. Rien n'est conservé à la fermeture de l'onglet.

L'alerte dit que mon mot de passe est dans une fuite, fiable ?

Il y a deux niveaux. L'alerte instantanée provient de la liste interne de zxcvbn des 30 000 mots de passe les plus utilisés issus de fuites comme RockYou, comparée hors ligne. Pour une réponse en direct, appuyez sur Chercher dans les fuites : il interroge la base HaveIBeenPwned via k-anonymity (n'envoie que les 5 premiers caractères de l'empreinte) et indique combien de fois le mot de passe est apparu dans de vraies fuites.

Quel scénario de temps de cassage faut-il viser ?

Pour la plupart des comptes, le chiffre 'offline slow hashing' est le bon : c'est ce qui se passe quand une base fuit et que les attaquants lancent hashcat. Visez au moins 'siècles', ce qui demande en général une note 3-4 et 12+ caractères.

Outils similaires