Password Strength Checker
Analysez la force de votre mot de passe et vérifiez les fuites via HIBP. Entièrement dans votre navigateur.
Comment fonctionne cet outil
Analyse locale
L'entropie est calculée sur la base du jeu de caractères utilisé (majuscules, minuscules, chiffres, symboles) et de la longueur. Des patterns faibles sont également détectés : mots courants, séquences clavier, répétitions et années.
Estimation du temps de craquage
En supposant une attaque brute-force à 10 milliards de tentatives/seconde (GPU moderne), le temps est estimé à partir de l'entropie : 2^bits / 10^10 secondes. Au-dessus de 60 bits, l'attaque prend des années.
Vérification HIBP (optionnelle)
En cliquant sur le bouton, un hash SHA-1 est calculé côté client. Seuls les 5 premiers caractères (prefix) sont envoyés à l'API Have I Been Pwned. Les suffixes retournés sont comparés localement — votre mot de passe complet ne quitte jamais votre appareil.
Votre mot de passe ne quitte jamais votre navigateur
L'analyse de force est entièrement locale : aucun réseau sollicité. Pour la vérification de fuite, seuls 5 caractères du hash SHA-1 transitent (k-anonymité). Have I Been Pwned reçoit un préfixe générique — impossible d'en déduire votre mot de passe. Ouvrez l'onglet Réseau de DevTools pour le vérifier vous-même.
Créer et stocker des mots de passe forts
Un mot de passe fort (au moins 16 caractères, majuscules + chiffres + symboles) produit une entropie supérieure à 80 bits, ce qui rend les attaques par force brute impossibles en pratique même avec du matériel spécialisé.
Une fois le mot de passe fort créé, stockez-le dans un gestionnaire de mots de passe. Il chiffre votre coffre localement avant toute synchronisation cloud.
Stockez vos mots de passe en toute sécurité
Un mot de passe fort mal stocké est inutile. Bitwarden, Proton Pass et NordPass sont open-source, auditables et gratuits.
Questions fréquentes
Mon mot de passe est-il envoyé sur Internet ?
Non. L'analyse de force est 100% locale. Pour la vérification HIBP, seuls les 5 premiers caractères du hash SHA-1 de votre mot de passe sont transmis (k-anonymité). Le hash complet ni le mot de passe en clair ne transitent jamais — Have I Been Pwned ne peut pas deviner votre mot de passe à partir du préfixe.
Qu'est-ce que Have I Been Pwned ?
Have I Been Pwned (HIBP) est une base de données publique créée par le chercheur en sécurité Troy Hunt, recensant plus de 10 milliards de couples identifiants/mots de passe provenant de fuites de données connues. L'API de vérification de mots de passe utilise la k-anonymité pour ne jamais exposer le mot de passe complet.
Comment est calculée l'entropie ?
L'entropie est calculée comme L × log₂(N), où L est la longueur du mot de passe et N le nombre de caractères possibles dans le jeu utilisé (26 minuscules, 26 majuscules, 10 chiffres, 32 symboles). Par exemple, un mot de passe de 16 caractères avec tous les jeux donne 16 × log₂(94) ≈ 104 bits.
Quel score minimum recommandez-vous ?
Visez au moins 'Fort' (60+ bits). Pour les comptes critiques (email principal, banque, gestionnaire de mots de passe), privilégiez 'Très fort' (80+ bits), soit 16+ caractères avec des majuscules, chiffres et symboles.
Que faire si mon mot de passe a fuité ?
Changez-le immédiatement sur tous les services où vous l'utilisez. Activez l'authentification à deux facteurs (2FA) sur ces comptes. Utilisez un gestionnaire de mots de passe pour créer et stocker des mots de passe uniques pour chaque service.