Avant de choisir un générateur de mot de passe

Tous les générateurs en ligne se ressemblent à première vue : une case avec le mot de passe généré et quelques cases à cocher. Derrière cette apparence commune, il existe des différences techniques majeures qui déterminent si votre mot de passe est vraiment sûr, ou seulement “affiché de manière sécurisée”. Voici les 10 questions que les utilisateurs posent le plus souvent, avec des réponses concrètes pour savoir quoi regarder.

Si vous voulez expérimenter directement avec un outil qui respecte les principes décrits ici, un générateur côté client est disponible — il fait tout le calcul dans votre navigateur, sans serveur intermédiaire.

1. Un générateur en ligne peut-il voir mon mot de passe ?

Cela dépend de son architecture. Un générateur côté serveur calcule le mot de passe sur une machine distante et vous le renvoie : il passe donc par le réseau et existe brièvement dans la mémoire du serveur, ses logs ou son cache. Un générateur côté client fabrique tout dans votre navigateur via crypto.getRandomValues() ; rien ne sort de votre machine. Nous détaillons les raisons techniques de privilégier le client-side dans notre dossier sur la génération côté client. Pour vérifier : ouvrez les DevTools (F12), onglet Network, et cliquez sur “Générer”. Si vous voyez une requête HTTP vers le serveur à ce moment, le mot de passe sort. Si rien ne bouge, c’est bien du côté client.

2. Est-ce que l’aléatoire d’un générateur navigateur est vraiment fiable ?

Oui. La fonction crypto.getRandomValues() utilise le générateur cryptographique du système d’exploitation : /dev/urandom sur Linux/Mac, CryptGenRandom sur Windows. Ces sources sont considérées sûres pour un usage cryptographique par le NIST, l’ANSSI et l’OWASP. Elles sont infiniment meilleures que Math.random(), que certains vieux générateurs utilisent encore (et qu’il faut éviter : prédictible en quelques essais).

3. Combien de caractères un bon générateur propose-t-il ?

Un générateur sérieux permet de descendre à 4 caractères (utile pour les PIN) et de monter jusqu’à 64 caractères minimum. Les outils limités à 20 caractères maximum montrent un manque d’ambition : certains coffres ou clés secrètes demandent 32+ caractères. Un slider libre de 4 à 64 couvre tous les cas d’usage. Pour approfondir, notre guide sur la longueur idéale d’un mot de passe en 2026 recense les seuils à viser selon le type de compte.

4. Doit-il afficher l’entropie en bits ?

Idéalement oui. L’entropie en bits (log2(alphabet ^ longueur)) est la seule métrique universelle pour comparer deux mots de passe. Un outil qui affiche “fort” / “faible” sans chiffre laisse l’utilisateur dans le flou. Viser 75 bits minimum pour un compte standard, 100 bits pour un compte critique. Un générateur qui affiche les bits en direct permet de visualiser l’impact de chaque option (longueur, jeux de caractères).

5. Pourquoi choisir une passphrase Diceware plutôt qu’un mot de passe classique ?

Les passphrases Diceware (orange-guitare-velo-pluie) sont mémorisables là où un mot de passe aléatoire ne l’est pas. Elles sont à privilégier uniquement quand vous devez taper le mot de passe à la main : mot de passe maître d’un gestionnaire, PIN de session, déverrouillage de téléphone par phrase. Pour les 200 autres comptes stockés dans votre gestionnaire, un mot de passe aléatoire court (16 car.) se copie-colle plus rapidement qu’une longue passphrase.

6. Un bon générateur doit-il fonctionner hors ligne ?

C’est un excellent test. Un générateur 100 % côté client continue de fonctionner si vous coupez internet après avoir chargé la page. Essayez : chargez la page, passez en mode avion, cliquez “Générer”. Si le mot de passe se génère, c’est du vrai client-side. Si ça plante ou si rien n’apparaît, l’outil dépend d’un serveur externe. Bonus : une Progressive Web App (PWA) installable sur l’écran d’accueil garde le générateur accessible sans connexion.

7. Est-ce dangereux de copier-coller un mot de passe généré ?

Le presse-papiers est un vecteur d’attaque faible en usage personnel sur un ordinateur sain, mais attention dans deux cas : sur un PC partagé (vidage manuel du presse-papiers après usage), et face aux applications qui lisent le clipboard en continu (certaines apps mobile). Les bons générateurs vident automatiquement le presse-papiers après 30 à 60 secondes via navigator.clipboard.writeText(''). Vérifiez que l’outil propose cette option.

8. Comment savoir si le code source est vraiment sans backdoor ?

La réponse honnête : vous ne pouvez pas vérifier en profondeur sans être développeur. Les bonnes pratiques à exiger : le code JavaScript est lisible (non minifié en production ou avec source map), le site est open source sur GitHub avec un historique de commits, l’outil n’envoie aucune requête au clic “Générer” (vérifiable dans DevTools), et pas de pub ni de tracker qui chargent du JS tiers. Un audit externe public (type Cure53) est le top, mais rare pour les outils gratuits.

9. Faut-il se méfier des générateurs qui demandent un mot-clé personnel ?

Oui. Certains outils vous demandent un “mot-clé” ou une “phrase secrète” pour “personnaliser” votre mot de passe généré. Ces outils sont à éviter. Ils transforment votre entrée via une fonction déterministe : même entrée = même mot de passe généré. Si quelqu’un apprend votre mot-clé (via un collègue, une fuite, du phishing), il régénère tous vos mots de passe en quelques secondes. Un vrai générateur ne prend aucune entrée utilisateur qui serve à calculer le mot de passe.

10. Dois-je utiliser le générateur intégré à mon navigateur ou à mon gestionnaire ?

Les deux sont valides techniquement, mais ont leurs limites. Chrome et Firefox proposent des générateurs dans le formulaire d’inscription, mais ils ne donnent pas l’entropie, n’ont pas de mode passphrase et ne permettent pas de changer la longueur finement. Les gestionnaires (Bitwarden, 1Password) font mieux mais on est verrouillé dans leur interface. Un générateur web indépendant (comme celui-ci) offre toute la flexibilité sans dépendance, et reste utilisable si vous changez de gestionnaire ou de navigateur dans 3 ans.

Les 3 réflexes à garder

  1. Testez le côté client : ouvrez DevTools, onglet Network, générez. Zéro requête = sécurité vérifiée.
  2. Regardez l’entropie en bits : viser ≥ 75 pour un compte standard, ≥ 100 pour un compte critique.
  3. Préférez un outil qui propose les deux modes (aléatoire + Diceware) : vous alternez selon le cas d’usage sans changer d’onglet.

En appliquant ces trois règles, vous éliminez 95 % des outils douteux du web. Pour aller plus loin, notre comparatif des 5 meilleurs générateurs gratuits 2026 classe les outils disponibles en français selon ces critères. Gardez le bon dans vos marque-pages et utilisez-le à chaque inscription. La même rigueur s’applique aux extensions de navigateur : la FAQ adblocker et données personnelles montre comment vérifier qu’une extension ne renvoie pas vos données ailleurs.