Force du mot de passe + estimateur de temps de craquage

Si vous vous demandez si votre mot de passe est réellement suffisamment robuste, cet outil rapide vous aide à l’estimer en quelques secondes. Le calculateur affiche une note de force en temps réel pendant la saisie (avec un retour couleur très clair), puis estime le temps de craquage du même mot de passe selon différents niveaux de puissance de calcul — d’un Raspberry Pi à un PC gamer (GPU), jusqu’à un modèle théorique d’ordinateur quantique. Il est conçu pour toute personne qui veut comprendre de façon pratique la force d’un mot de passe, l’entropie, et la question « combien de temps faut-il pour craquer un mot de passe ? » dans un scénario d’attaque hors ligne. Utilisez-le pour améliorer des mots de passe faibles, créer des phrases de passe plus sûres et adopter de meilleures habitudes de cybersécurité — surtout si vous réutilisez des mots de passe sur plusieurs comptes.

Password Strength Checker

Educational estimator. Nothing is sent to the server. Avoid entering real passwords—use a sample.

Strength: Entropy: 0 bits

Le guide complet de la force des mots de passe : entropie, estimations de temps de craquage et bonnes pratiques réelles

Les mots de passe font partie de ces gestes quotidiens que l’on fait sans réfléchir : on se connecte, on passe à autre chose. Le problème, c’est que les attaquants, eux, y pensent tout le temps — et ils ne devinent pas « comme des humains ». Ils automatisent, ils scalent, et ils exploitent des schémas que nous répétons souvent sans nous en rendre compte.

Ce guide est là pour rendre la force des mots de passe compréhensible et concrète. Vous allez apprendre ce que signifie l’entropie, pourquoi des mots de passe « complexes en apparence » peuvent rester faibles, en quoi le craquage hors ligne diffère des tentatives en ligne, et ce qui fonctionne vraiment en 2026 : des mots de passe (ou phrases de passe) longs et uniques, plus la MFA/2FA, plus une hygiène de récupération solide.

Si vous avez cherché « test de force mot de passe », « calculateur d’entropie », « combien de temps pour craquer un mot de passe » ou « temps de craquage hors ligne », vous êtes au bon endroit.

Ce que signifie vraiment la « force » d’un mot de passe (en clair)

Un mot de passe fort est un mot de passe difficile à deviner, difficile à prédire et jamais réutilisé ailleurs. C’est tout.

Beaucoup de gens pensent que la force signifie « ça a l’air compliqué ». Exemple : M@rk1991!
Il y a des symboles, des majuscules et des chiffres… et pourtant, ce type de mot de passe est souvent craqué rapidement, car il suit des habitudes humaines : prénom + année + symbole.

La vraie robustesse vient généralement de :

  • La longueur (plus c’est long, plus le brute force devient irréaliste)

  • L’imprévisibilité (aléatoire, pas « malin »)

  • L’unicité (jamais le même mot de passe ailleurs)

C’est pour ça que les spécialistes répètent le même conseil : une phrase de passe longue ou une chaîne générée par un gestionnaire de mots de passe est presque toujours meilleure qu’un mot de passe court « complexe ».

« Craquer » un mot de passe : ce que font réellement les attaquants

Quand on dit qu’un mot de passe a été « hacké », c’est généralement l’un de ces scénarios :

  1. Essais en ligne (via le formulaire de connexion)
    L’attaquant teste des mots de passe directement sur le site/l’appli. Les systèmes sérieux ralentissent cela grâce à :

  • limitations de débit (rate limiting)

  • CAPTCHA

  • verrouillages temporaires

  • réputation IP / détection d’abus

Du coup, le brute force en ligne est souvent lent. Il peut marcher sur des systèmes faibles, mais les chiffres du type « milliards d’essais par seconde » ne viennent pas de là.

  1. Credential stuffing (le vrai fléau quand on réutilise ses mots de passe)
    Les attaquants récupèrent des paires email + mot de passe issues d’anciennes fuites et les essaient partout. C’est pourquoi la réutilisation est si dangereuse : un compte récent peut tomber sans que personne n’ait « deviné » quoi que ce soit.

  2. Phishing
    Aucun craquage nécessaire : vous saisissez votre mot de passe sur une fausse page, l’attaquant l’utilise immédiatement.

  3. Craquage hors ligne (craquage de hash)
    C’est ici que la puissance matérielle compte. Après une fuite, les attaquants peuvent obtenir une base de données de hashes. Ils testent ensuite leurs hypothèses sur leurs propres machines, sans limitation, à la vitesse permise par le matériel et l’algorithme de hashage.

Les estimations « Raspberry Pi / PC bureau / PC gamer / supercalculateur / quantique » de votre outil visent surtout ce scénario hors ligne. Elles sont éducatives : le temps réel dépend énormément du type de hash et du caractère prévisible (ou non) du mot de passe.

Un type d’attaquant très pertinent en pratique, mais souvent absent des listes :

  • En ligne (limité) — utile pour les utilisateurs qui se demandent ce qui se passe via une page de login. On peut ajouter une ligne « attaque en ligne » plus tard si vous voulez.

Entropie du mot de passe : l’idée centrale derrière le calculateur

L’entropie est une façon d’estimer le nombre d’essais nécessaires pour retrouver un mot de passe s’il était choisi au hasard.

Un modèle courant :

Entropie (bits) = longueur × log2(taille de l’alphabet)

  • longueur : nombre de caractères

  • taille de l’alphabet : nombre de possibilités par position (ex. minuscules = 26, lettres+chiffres ≈ 62, ASCII imprimable ≈ 95)

Plus l’entropie est élevée, plus il y a de combinaisons, plus il faut d’essais, plus le temps de craquage augmente.

Un exemple simple

Mot de passe de 12 caractères avec un alphabet large :

bits ≈ 12 × log2(62) ≈ 12 × 5,95 ≈ 71 bits

Très bon… si c’est réellement aléatoire.

Le point crucial : l’entropie suppose l’aléatoire

La plupart des mots de passe humains ne sont pas aléatoires. Ils ont une structure :

  • prénoms, équipes, villes

  • années, dates de naissance

  • « 1! » à la fin

  • motifs clavier (qwerty, asdf)

  • substitutions ultra courantes (a→@, o→0)

Les attaquants ne commencent pas par brute-forcer tout l’espace. Ils commencent par ce qui marche :

  • dictionnaires de mots de passe fréquents

  • listes issues de fuites

  • règles de mutation (ajouter 1, ajouter !, majuscule initiale, etc.)

  • générateurs de motifs clavier

  • modèles probabilistes

Donc l’entropie se lit mieux ainsi : « si ce mot de passe était aléatoire, voici la taille de l’espace ».
S’il ne l’est pas, la force effective peut être bien plus faible.

Pourquoi la longueur est reine

La longueur est puissante parce qu’elle fait exploser l’espace de recherche.

Ajouter un caractère ne donne pas « un peu plus » de sécurité : cela multiplie l’espace par la taille de l’alphabet. D’où :

  • passer de 8 → 12 caractères : énorme

  • passer de 12 → 16 : encore plus

C’est aussi pour ça que les phrases de passe fonctionnent : elles sont longues, et la longueur apporte de la sécurité sans règles absurdes de symboles.

Vitesse de craquage hors ligne : pourquoi les « niveaux de machine » comptent

En hors ligne, on peut tester très vite — mais la vitesse dépend de :

  • l’algorithme de hash

  • GPU vs CPU

  • la dureté mémoire (Argon2/scrypt ralentissent les GPU)

  • le budget et la parallélisation

Votre calculateur utilise des hypothèses de taux d’essai comme repères :

  • Raspberry Pi (faible puissance)

  • PC bureautique (CPU)

  • PC gamer (GPU) (très rapide pour certains hashes)

  • cluster GPU / supercalculateur

  • quantique (théorique) (estimation type Grover, hypothèses optimistes)

C’est une bonne façon de visualiser des « niveaux d’attaquant ».

Hashage des mots de passe : pourquoi le même mot de passe peut être facile ou difficile à craquer

Un service sérieux ne stocke pas les mots de passe en clair. Il stocke un hash (fonction à sens unique).

Mais tous les hashes ne se valent pas pour protéger des mots de passe.

Hashes rapides (mauvais pour stocker des mots de passe)

  • MD5

  • SHA-1

  • SHA-256 (utilisé seul, sans schéma de hashage de mot de passe)

Ces fonctions sont très rapides — bien pour l’intégrité, mauvais pour la sécurité des mots de passe.

Hashes de mot de passe lents (bons)

  • bcrypt

  • scrypt

  • Argon2

Ils sont conçus pour être coûteux (lents et/ou gourmands en mémoire), ce qui rend les attaques par essais massifs beaucoup plus difficiles.

Les sels (salts) et pourquoi c’est crucial

Un salt aléatoire (stocké avec le hash) empêche que deux utilisateurs ayant le même mot de passe aient le même hash. Ça évite de « craquer une fois et identifier tout le monde ».

Certains systèmes ajoutent aussi un pepper (secret côté serveur), selon les implémentations.

À retenir : le temps de craquage dépend à la fois de votre mot de passe et de la façon dont le site le stocke. Mais vous devez supposer que des fuites arrivent et choisir des mots de passe solides même en hors ligne.

À quoi ressemble un mot de passe « suffisamment fort » en pratique

Règles simples :

  • Mots de passe aléatoires : viser 16+ caractères

  • Phrases de passe : viser 4 à 6 mots aléatoires, souvent 20+ caractères

  • Comptes critiques (email, banque, admin) : plus long + MFA + récupération verrouillée

L’email est souvent le compte le plus important : c’est la clé de récupération de beaucoup d’autres services.

Phrases de passe : l’amélioration la plus facile à tenir

Une bonne phrase de passe est :

  • longue

  • composée de mots aléatoires

  • ni citation, ni proverbe connu, ni parole de chanson

À éviter :

  • citations célèbres

  • phrases de films

  • proverbes

  • slogans

Ce qui marche :

  • 4–6 mots sans lien, choisis au hasard

  • éventuellement des séparateurs, ou un mot en plus

La phrase de passe est mémorisable sans être prévisible — si les mots sont réellement aléatoires.

Pourquoi certaines politiques de mot de passe se retournent contre vous

Beaucoup de systèmes imposent encore :

  • un symbole obligatoire

  • une majuscule obligatoire

  • changement forcé tous les X jours

Résultat : comportements prévisibles :

  • « Password1! »

  • « Password2! »

  • « Été2026! »

Et ce sont précisément les schémas testés en premier.

Les recommandations modernes (globalement) privilégient :

  • autoriser des mots de passe longs

  • bloquer les mots de passe déjà compromis

  • encourager MFA

  • éviter la rotation forcée sauf suspicion de compromission

Si vous gérez un site, une mauvaise politique peut rendre la base d’utilisateurs globalement moins sûre.

Bien utiliser le calculateur (et en sécurité)

Le calculateur tourne dans le navigateur et n’envoie rien au serveur — c’est bien.

Par prudence :

  • ne saisissez pas votre vrai mot de passe actuel

  • testez un exemple de même longueur/style

  • lisez le résultat comme une estimation, pas une garantie

« Fort » signifie souvent « fort dans un modèle aléatoire ». Les mots de passe structurés peuvent être beaucoup plus faibles en pratique.

Interpréter correctement les temps de craquage

Les temps peuvent induire en erreur :

  • ils supposent souvent du brute force

  • les attaquants gagnent souvent plus vite avec des essais intelligents

  • c’est généralement un temps moyen, pas le pire cas

  • cela dépend fortement de :

    • l’algorithme (bcrypt vs MD5)

    • le matériel

    • la présence dans des listes de fuites

    • la structure du mot de passe

Utilisation idéale : un signal d’alerte.

  • « minutes/heures » : changer immédiatement

  • « années » : plutôt bon, si unique + MFA

MFA (2FA) : le filet de sécurité indispensable

Même un bon mot de passe peut être volé via phishing ou malware. La MFA ajoute un second facteur :

  • code à usage unique

  • validation via application

  • ou mieux : clé de sécurité matérielle

Pour les comptes importants (email, banque, cloud, réseaux sociaux, WordPress admin), MFA devrait être la norme.

Et sécurisez la récupération : codes de secours, email de secours, téléphone, etc.

Gestionnaires de mots de passe : pourquoi ça vaut le coup

Garder des mots de passe uniques et forts pour des dizaines de sites sans outil est irréaliste.

Un gestionnaire :

  • génère des mots de passe aléatoires solides

  • les stocke de manière sécurisée

  • les remplit automatiquement

  • évite la réutilisation et les variantes

Si vous ne changez qu’une seule habitude : arrêtez la réutilisation.

Erreurs fréquentes (et correctifs rapides)

  • Erreur : court mais « complexe »
    Correctif : plus long.

  • Erreur : modèle prévisible (NomAnnée!)
    Correctif : abandonner les modèles. Aléatoire / phrase de passe aléatoire.

  • Erreur : « un mot de passe fort pour tout »
    Correctif : unique par site + gestionnaire.

  • Erreur : stockage risqué (notes en clair, captures)
    Correctif : coffre sécurisé / gestionnaire.

  • Erreur : négliger l’email
    Correctif : email = clé maîtresse. Mot de passe unique + MFA + récupération verrouillée.

Plan d’amélioration simple (sans se noyer)

En moins d’une heure :

  1. Sécuriser l’email

    • mot de passe long et unique

    • MFA

    • récupération sécurisée

  2. Sécuriser le gestionnaire (si utilisé)

    • phrase de passe maître solide

    • MFA

  3. Sécuriser les comptes critiques

    • banque, cloud, réseaux sociaux, travail

  4. Stopper la réutilisation

    • chaque nouveau compte = un mot de passe unique

Note WordPress (utile si vous publiez ce calculateur sur un site WP)

Sur WordPress, la force du mot de passe est aussi un enjeu business.

Bonnes pratiques :

  • mot de passe long et unique pour les admins

  • MFA pour les admins

  • limitation des tentatives de connexion

  • mises à jour WP/thèmes/plugins

  • éviter « admin » comme identifiant

  • principe du moindre privilège

Questions fréquentes

Quelle longueur viser aujourd’hui ?
16+ caractères pour un mot de passe aléatoire. 20+ pour une phrase de passe.

Les symboles sont-ils indispensables ?
Ils aident, mais la longueur aide davantage.

« Très fort » = sûr ?
Pas si c’est une phrase connue ou réutilisée. Force + unicité + MFA.

Les ordinateurs quantiques vont-ils tout casser ?
C’est surtout théorique à ce stade. Les mots de passe longs, les meilleurs hashes et l’évolution vers des méthodes comme les passkeys offrent une marge importante.

Le risque numéro 1 ?
La réutilisation + le credential stuffing.

Checklist à conserver

  • mots de passe uniques partout

  • 16+ caractères aléatoires ou 20+ en phrase de passe

  • MFA sur les comptes importants

  • sécuriser email et récupération

  • utiliser un gestionnaire de mots de passe

  • partir du principe qu’une fuite est possible et se préparer

La sécurité des mots de passe n’a rien de mystique : elle doit être cohérente. Des mots de passe (ou phrases de passe) longs et uniques + MFA vous font passer de « cible facile » à « pas rentable » pour la majorité des attaques. Le calculateur sert à rendre visible l’invisible : il montre à quel point un mot de passe faible s’effondre vite face à des essais automatisés — et pourquoi de meilleures habitudes comptent.



Les images utilisées dans cet article sont générées par IA ou proviennent de banques libres de droits comme Pixabay ou Pexels.

Publications similaires