Vérificateur de Force de Mot de Passe
Un vérificateur de force de mot de passe propulsé par le moteur zxcvbn de Dropbox — le même algorithme utilisé par de grands sites comme Stripe, GitLab et 1Password. Il estime le nombre d'essais qu'un attaquant aurait besoin en reconnaissant les dictionnaires courants, les listes de mots de passe fuités, les séquences de clavier, les dates et les répétitions — pas seulement en comptant les classes de caractères.
Comment l'utiliser
Le score se met à jour à chaque frappe. Cliquez sur l'icône œil pour basculer la visibilité.
Visez un score de 3 ou 4. Si vous voyez des avertissements, traitez-les — ajouter un « 1! » aide rarement.
Connexion à un service web ? En ligne limité. Fuite de base de données ? Hors ligne hash rapide — et c'est la ligne qui compte le plus.
Ajoutez de la longueur et de l'imprévisibilité jusqu'à atteindre 4 sur toutes les lignes.
Testez à quel point votre mot de passe est réellement devinable — basé sur de vrais dictionnaires, motifs et données de fuite
Temps de cassage
Fonctionnalités
Questions fréquentes
Où se passe la notation du mot de passe ?
L'estimateur zxcvbn tourne dans votre navigateur via JavaScript à chaque frappe — la même bibliothèque côté client utilisée par l'inscription Stripe, la création de compte GitLab, 1Password et Dropbox. Aucun endpoint /run n'existe pour cet outil ; la logique de notation est livrée dans les ressources de la page et calculée localement dans votre onglet.
Qu'est-ce que zxcvbn ?
Un estimateur de force de mot de passe créé par l'ingénieur Dropbox Daniel Lowe Wheeler. Au lieu de compter les classes de caractères, il estime le nombre d'essais nécessaires en utilisant des dictionnaires, des motifs courants et la reconnaissance de substitutions l33t. Utilisé en production par Stripe, GitLab, 1Password et bien d'autres.
Pourquoi « Password123! » obtient-il un score bas ?
Parce qu'il apparaît dans le top 1000 de chaque liste de mots de passe fuités, et le suffixe « 123! » est la modification la plus courante. Un attaquant essaie ceux-ci en premier.
Quel score est « sûr » ?
Le score 4 (10⁹+ essais) est sûr contre les attaques hors ligne. Le score 3 est sûr contre les attaques en ligne. Le score 2 et en dessous est non sûr dans tout scénario.
Dois-je faire confiance aux estimations de temps ?
Ce sont des estimations conservatrices contre des attaquants bien équipés. Les vrais adversaires varient, mais si un mot de passe tombe sous « hors ligne hash rapide, < 1 heure », il n'est pas sûr pour toute base de données qui pourrait fuiter.
Pourquoi la longueur est-elle plus importante que les symboles ?
Parce qu'ajouter un caractère de longueur multiplie l'espace de recherche par la taille de l'alphabet ; ajouter un symbole ne change qu'un caractère. Un mot de passe de 16 caractères tout en minuscules résiste à plus d'essais qu'un « complexe » de 10 caractères.
Nous le pouvons — et c'est gratuit ! Envoyez-nous simplement un message rapide avec votre idée. Si vous voulez en discuter en détail, laissez votre e-mail et nous reviendrons vers vous. Vous pouvez rester anonyme.
