Tester la robustesse d’un mot de passe : 5 outils gratuits sûrs en 2026
Avant d’utiliser un nouveau mot de passe sur un compte critique, on aimerait savoir s’il résisterait à une attaque réelle. Les sites « test password strength » sont nombreux mais pas tous légitimes : certains stockent ou exfiltrent les mots de passe saisis. Voici les 5 outils gratuits qui mesurent vraiment quelque chose en 2026, et la méthode pour s’en servir sans risque.
Avant tout : comment éviter les pièges
Trois règles absolues pour tester un mot de passe sans le compromettre :
- Ne jamais saisir un mot de passe que vous utilisez réellement sur un service en ligne — testez toujours un mot de passe équivalent (même longueur, même profil de caractères) que vous générez juste pour le test.
- Préférer un outil 100 % côté client (le mot de passe reste dans le navigateur, n’est pas envoyé à un serveur). C’est vérifiable en regardant l’onglet réseau des DevTools après saisie.
- Refuser les outils qui demandent une adresse email ou une création de compte pour afficher le résultat — la finalité n’est pas le test, c’est la collecte.
Tableau récapitulatif des 5 outils
| Outil | Côté client | Mesure | Score 2026 | Cas d’usage idéal |
|---|---|---|---|---|
| zxcvbn (intégré à votre gestionnaire) | Oui | Entropie + dictionnaires | 9/10 | Test rapide pendant la frappe |
| Have I Been Pwned — Passwords | Oui (k-anonymity) | Présence dans une fuite connue | 9/10 | Vérifier qu’un mot de passe n’a jamais fuité |
| Security.org Password Strength | Oui | Estimation temps de cassage brute force | 7/10 | Visualisation pédagogique |
| KeePassXC — Password Generator/Quality | Oui | Entropie Shannon + alertes contextuelles | 9/10 | Audit local sans Internet |
| Le rapport de santé Bitwarden / 1Password | Oui (sur votre coffre) | Faiblesse + réutilisation + fuite | 10/10 | Audit complet du coffre |
Outil 1 — zxcvbn (intégré au gestionnaire)
zxcvbn est la bibliothèque open-source créée par Dropbox qui équipe la majorité des gestionnaires de mots de passe modernes (Bitwarden, 1Password, KeePassXC) et de nombreux formulaires d’inscription. Elle donne un score 0 à 4 et une estimation du temps de cassage en attaque hors-ligne.
Ce qu’elle vérifie :
- Longueur et alphabet utilisé
- Présence dans le dictionnaire des 10 000 mots de passe les plus communs
- Patterns clavier (« qwerty », « azerty »)
- Dates et années (« 1985 », « 2026 »)
- Substitutions naïves (« P@ssw0rd »)
Comment s’en servir : ouvrir le formulaire de création/changement de mot de passe de votre gestionnaire — la jauge zxcvbn s’affiche pendant la frappe. Pas besoin d’aller sur un site externe. Tout reste local.
Outil 2 — Have I Been Pwned — Passwords
haveibeenpwned.com/Passwords maintenu par Troy Hunt vérifie si un mot de passe est apparu dans une fuite de données publique (15 milliards d’entrées indexées en 2026).
Le mécanisme k-anonymity est le détail qui change tout : votre mot de passe n’est pas envoyé au serveur. Le navigateur calcule son hash SHA-1 localement, n’envoie que les 5 premiers caractères du hash (préfixe), reçoit la liste des hashs commençant par ces 5 caractères, et compare localement. Le serveur ne sait jamais quel mot de passe vous testez.
Cas d’usage idéal : vérifier qu’un mot de passe que vous envisagez d’utiliser n’a jamais fuité. Si la base le connaît (1+ occurrence), changez-le immédiatement — il est dans toutes les listes d’attaque par credential stuffing.
Voir notre tutoriel détaillé pour vérifier une fuite.
Outil 3 — Security.org Password Strength
security.org/how-secure-is-my-password affiche combien de temps une attaque brute force prendrait pour casser le mot de passe. Le calcul s’effectue intégralement dans le navigateur (vérifiable dans DevTools : aucune requête réseau ne contient le mot de passe).
L’avantage : la représentation visuelle est parlante (« 1 mois », « 1 trillion d’années »), utile pour expliquer à un proche pourquoi son « JulieMartin1985 » ne tient pas. La limite : le calcul ignore les attaques par dictionnaire, qui sont bien plus rapides que la brute force pure sur les mots de passe humains. Un « JulieMartin1985 » casse en secondes par dictionnaire alors que Security.org affichera plusieurs années en brute force.
Conclusion : utile pour la pédagogie, insuffisant comme seule mesure. Croiser avec zxcvbn et HIBP.
Outil 4 — KeePassXC — Quality estimator
L’outil 100 % local et open-source de référence pour les utilisateurs avancés. KeePassXC (gratuit, multi-plateforme, sans cloud) intègre :
- Un estimateur de qualité basé sur l’entropie Shannon
- Un détecteur de patterns faibles (mots du dictionnaire, dates, séquences)
- La possibilité de vérifier les fuites HIBP sur tout votre coffre via l’option « Have I Been Pwned » du menu Outils
L’intérêt majeur : aucun trafic réseau dans la version par défaut (sauf opt-in pour HIBP). Le test est entièrement hors ligne, ce qui en fait l’outil de choix pour tester un mot de passe critique sans confier au navigateur ni à un site web le risque d’exfiltration.
Voir notre comparatif Bitwarden vs KeePass pour choisir entre cloud ou local.
Outil 5 — Le rapport de santé Bitwarden / 1Password
Une fois votre coffre alimenté, le rapport de santé intégré au gestionnaire est l’outil le plus complet :
| Indicateur | Bitwarden | 1Password | KeePassXC |
|---|---|---|---|
| Mots de passe faibles | Oui | Oui (Watchtower) | Oui |
| Mots de passe réutilisés | Oui | Oui | Oui |
| Mots de passe exposés (HIBP) | Oui | Oui | Oui (manuel) |
| 2FA non activé | Bitwarden Premium | Oui | Non |
| Sites supportant le passkey | Bitwarden Premium | Oui | Non |
C’est la seule mesure systémique : zxcvbn et HIBP testent un mot de passe à la fois ; le rapport de santé scanne les 30 à 200 mots de passe d’un coffre typique en une fois et hiérarchise. Pour piloter votre audit mots de passe en 10 minutes, c’est l’outil pivot.
Ce que les outils ne mesurent PAS
Les 5 outils ci-dessus mesurent la résistance technique d’un mot de passe. Ils ne disent rien sur :
- Le contexte d’utilisation : un mot de passe « parfait » réutilisé sur 5 sites = risque maximal. Aucun outil ne le détecte sans connaître les autres comptes.
- Le canal de saisie : un mot de passe 25 caractères tapé sur un PC infecté par un keylogger ne vaut rien. Le test mesure le mot de passe, pas l’environnement.
- Le 2FA : un mot de passe 8 caractères + clé FIDO2 active reste plus sûr qu’un mot de passe 20 caractères sans 2FA. Aucun test de robustesse mot de passe ne capte cette dimension.
- La fraîcheur : un mot de passe créé en 2018, jamais changé, sans avoir fuité, peut quand même avoir été observé via un screen capture, partagé par accident, récupéré dans un backup volé.
Pour ces dimensions, l’audit complet du coffre + l’activation 2FA priment sur la qualité brute du mot de passe individuel.
La méthode complète pour tester un nouveau mot de passe
Avant d’enregistrer un mot de passe sur un compte tier 1 (email, banque, gestionnaire) :
- Génération côté client via le générateur de mot de passe ouvert juste à côté — 16 caractères pour standard, 20 ou passphrase Diceware pour critique.
- zxcvbn dans la jauge du gestionnaire ou du formulaire d’inscription → score doit afficher 4/4.
- Have I Been Pwned Passwords → résultat doit afficher 0 occurrence (sinon régénérer).
- Enregistrement immédiat dans le gestionnaire au moment du remplissage du formulaire.
- Vérification 2 semaines après dans le rapport de santé du gestionnaire — le mot de passe doit toujours être marqué « strong » et non exposé.
Cette séquence prend 45 secondes au total et garantit que vous démarrez sur un mot de passe qui résiste à 100 % des attaques automatisées de masse de 2026.
Les 4 outils que nous déconseillons
- Sites « test password strength » avec ad banners agressives ou popup de newsletter — souvent monetisés sur la collecte. Si le site demande un email pour afficher le résultat, sortez immédiatement.
- Extensions navigateur tierces type « password strength checker » — code non-audité, accès au DOM de tous les sites visités. Préférez la jauge native du gestionnaire.
- Apps Android/iOS « Password Tester » dont le développeur n’est pas un éditeur de gestionnaire connu — réseau ouvert, pas de chiffrement.
- Outils en mode terminal trouvés sur GitHub sans audit communautaire — peuvent contenir un keylogger ou un envoi distant déguisé.
Si vous protégez aussi votre navigation contre les régies publicitaires qui agrègent ce type de saisie, le comparatif des extensions adblock 2026 sert de complément côté navigateur.
Conclusion : un test rigoureux prend moins d’une minute
Avec zxcvbn intégré au gestionnaire + HIBP en validation finale, tester un mot de passe avant emploi prend moins de 60 secondes et élimine la quasi-totalité des risques liés aux attaques automatisées. Le reste de la sécurité passe par le 2FA, l’unicité, et l’absence de réutilisation — dimensions que les meilleurs gestionnaires 2026 auditent en continu sans effort de votre part.
Étape suivante : ouvrez le générateur de mot de passe côté client, générez un mot de passe 16 caractères, copiez-le dans HIBP Passwords pour vérification, puis enregistrez-le dans votre gestionnaire. Première itération en moins d’une minute.