Générateur de mot de passe

Cela dépend de son architecture. Un générateur côté serveur calcule le mot de passe sur une machine distante et vous le renvoie : il passe donc par le réseau. Un générateur côté client, comme celui de cette page, fabrique tout dans votre navigateur via crypto.getRandomValues() : rien ne sort de votre machine. Ouvrez les DevTools (F12) onglet Network pour vérifier.

Oui. La fonction crypto.getRandomValues() utilise le générateur cryptographique du système d'exploitation (/dev/urandom sur Linux/Mac, CryptGenRandom sur Windows). Ces sources sont considérées sûres pour un usage cryptographique par le NIST, l'ANSSI et l'OWASP.

Un générateur sérieux permet de descendre à 4 caractères (PIN) et de monter jusqu'à 64 caractères minimum. Les outils limités à 20 caractères montrent un manque d'ambition : certains coffres demandent 32+ caractères. Un slider libre couvre tous les usages.

Idéalement oui. L'entropie en bits est la seule métrique universelle pour comparer deux mots de passe. Viser 75 bits minimum pour un compte standard, 100 bits pour un compte critique. Un générateur qui affiche les bits en direct permet de visualiser l'impact de chaque option.

Les passphrases Diceware (orange-guitare-velo-pluie) sont mémorisables là où un mot de passe aléatoire ne l'est pas. À privilégier quand vous devez taper le mot de passe à la main : mot de passe maître de gestionnaire, PIN de session, déverrouillage de téléphone.

C'est un excellent test. Un générateur 100 % côté client continue de fonctionner si vous coupez internet après avoir chargé la page. Chargez la page, passez en mode avion, cliquez Générer : si le mot de passe s'affiche, c'est du vrai client-side.

Le presse-papiers est un vecteur d'attaque faible en usage personnel sur un ordinateur sain. Attention sur PC partagé et face aux apps qui lisent le clipboard en continu. Les bons générateurs vident automatiquement le presse-papiers après 30 à 60 secondes.

Les bonnes pratiques à exiger : code JavaScript lisible (non minifié ou avec source map), site open source sur GitHub, aucune requête au clic Générer (vérifiable dans DevTools), pas de pub ni tracker qui charge du JS tiers. Un audit public (type Cure53) est le top.

Oui. Ces outils transforment votre entrée via une fonction déterministe : même entrée = même mot de passe. Si quelqu'un apprend votre mot-clé, il régénère tous vos mots de passe en quelques secondes. Un vrai générateur ne prend aucune entrée utilisateur qui serve à calculer le mot de passe.

Les deux sont valides mais limités : Chrome et Firefox ne donnent pas l'entropie, pas de mode passphrase et pas de contrôle fin de la longueur. Les gestionnaires (Bitwarden, 1Password) font mieux mais verrouillent dans leur interface. Un générateur web indépendant offre toute la flexibilité sans dépendance.