Générateur de mots de passe

syrac · 19-08-2025 14:24:49

Salut à tous,

EDIT : nouvelle adresse pour cette double application web, un générateur et un dérivateur.

Dernière modification par syrac (08-09-2025 23:58:40)

syrac · 20-08-2025 14:45:13

Etant donné que le temps moyen indiqué pour cracker un MDP se basait sur des vitesses de calcul allant de $10^{12}$ à $10^{15}$ essais/s, j'ai cru bon d'ajouter certaines données à propos de la puissance de calcul d'un hacker isolé muni d'un seul GPU, histoire de ne laisser personne croire que la sécurité des mots de passe n'est pas une affaire ultra-sensible.

Bernard-maths · 20-08-2025 16:20:23

Bonjour syrac, et à tous !

Pour moi, ce qui assure la sécurité d'un mot de passe, c'est la facilité du récepteur à valider, ou non, un mot proposé.

Si un délai (mettons une seconde) est nécessaire entre deux essais, alors les 10¹⁵ par seconde ne servent à rien !???

Il y a 31 556 000 et quelques secondes par an ...

Bernard-maths

syrac · 20-08-2025 16:43:04

Bernard-maths a écrit :

ce qui assure la sécurité d'un mot de passe c'est la facilité du récepteur à valider, ou non, un mot proposé.

Bonjour Bernard-maths,

Je ne comprends pas ce que tu veux dire.

Ce que mon laïus sur la page du générateur devrait démontrer, c'est le fait que ce qui fait la sécurité d'un mot de passe est la difficulté à le cracker, laquelle se mesure au temps moyen qu'il faut y consacrer. S'il faut un temps moyen de 13 s à $10^{12}$ essais/s (ce qui est à la portée du PC d'un particulier comme je l'ai dit) pour cracker un mot de passe de 8 caractères, il est préférable d'opter pour un mot de passe de 15 caractères, pour lequel il faudrait plus de 66000 ans à la même vitesse.

En même temps, rien ne dit que le mot de passe de 15 caractères ne vas pas se trouver au tout début de l'espace de recherche, auquel cas il sera cracké en quelques secondes. Mais c'est une situation totalement imprévisible.

Bernard-maths · 20-08-2025 17:04:19

Hello !

Pour moi un MDP n'est cracké que si il ouvre "la porte" à quelque chose. Un compte en banque par ex.

Mais pour cela il faut faire des propositions successives ... C'est pour cela que la sécurité, pour moi, n'est assurée que si il faut un délai entre deux propositions !

Le MDP sera cracké QUE si ça marche "vite", très improbable ...

B-m

Dernière modification par Bernard-maths (20-08-2025 17:08:34)

Ernst · 20-08-2025 18:37:43

syrac a écrit :

Salut à tous,
Je viens de créer celui-ci.
La question de la difficulté à cracker un MDP a été traitée par GPT-5, dont j'ai ajouté les explications afin que chacun sache ce qu'il risque en utilisant des mots de passe de faible longueur. Mais comme j'ai tendance à ne pas faire une confiance absolue à ChatGPT, serait-il possible à ceux qui sont compétents en la matière de confirmer (ou non) ses dires ? Merci d'avance ! :-)

Bonjour,

En dehors même du craquage, ce générateur me pose un problème : l’absence de choix possible quant à l’alphabet. Pas mal de sites demandent aujourd’hui la présence d’une majuscule, d’un chiffre, d’un caractère spécial. Il m’a fallu moins d’une dizaine de tirages pour obtenir ceux-ci :
A42spG9qBQDfBHD
TMUgrg7fmtJ9HEr
QqghJPcEtFCEmGg
…
sans caractères spéciaux et donc me faire jeter des sites dont je parle.

Perso j’utilise ce site et en validant 'Avec des caractères spéciaux' je peux même les choisir.

Pour ce qui est du craquage lui-même, la seule possibilité est de disposer de fichiers récupérés et protégés, là on peut utiliser la force brute et pour le particulier bien équipé, des logiciels hyper spécialisés comme hashcat peuvent le faire, ils disposent d’une quantité impressionnante d’algorithmes très pointus.

Pour les sites en ligne, s’ils sont bien faits ils n’accepteront jamais des milliers d’essais à la seconde, donc c’est sans objet, le plus grand risque étant le piratage de leur banque de données, quelques exemples :
— CHU de Brest : Attaque par rançongiciel en 2024 ayant paralysé les soins et la gestion des dossiers médicaux, impactant fortement les patients et le personnel.
— Ville de Lille : Cyberattaque en février 2024 ayant forcé la fermeture temporaire de plusieurs services municipaux.
— Intersport : En 2024, une intrusion majeure a volé 52 Go de données sensibles des clients et employés, soulevant de graves inquiétudes sur la protection des données.
— Viamédis et Almerys (prestataires santé) : Fuites massives des données d’assurés début 2024.
— Free et SFR : Grandes fuites de données clients en 2024, notamment des millions d’IBAN (Free) et d’autres données personnelles, largement exposées sur le dark web.
— Bouygues Telecom : En 2025, piratage et fuite de données de millions d’abonnés, avec une communication compliquée suite à l’envoi d’un SMS aux clients qui a inquiété plus d’un.
— France Travail et CAF : Attaques massives avec compromission des données de millions d’usagers en 2024-2025.
(et cela uniquement pour ceux qui communiquent à ce sujet bien sûr)

À ce propos, alors que l’utilisateur ne devait PAS écrire quelque part ses mots de passe, maintenant qu’on lui impose d’utiliser les services en ligne il DOIT en choisir d’impossible à mémoriser, cherchez l'erreur…

syrac · 20-08-2025 23:16:04

Bernard-maths a écrit :

Pour moi un MDP n'est cracké que si il ouvre "la porte" à quelque chose. Un compte en banque par ex.

Donc il existe deux types d'utilisateur de mots de passe à la démarche incompatible :

1) Celui qui s'en sert pour accéder à son compte en ligne.

2) Celui qui entend bien cracker le mot de passe du premier pour lui vider son compte en banque.

Ernst a écrit :

Pas mal de sites demandent aujourd’hui la présence d’une majuscule, d’un chiffre, d’un caractère spécial.

Il suffit de cliquer 2 ou 3 fois sur le bouton "Nouveau" pour obtenir ce que tu cherches. Mais tu peux chercher la petite bête si tu as du temps à perdre ! :-)

Ernst a écrit :

Perso j’utilise ce site [motdepasse.xyz] et en validant 'Avec des caractères spéciaux' je peux même les choisir.

Je connais ce site et l'ai utilisé pendant pas mal de temps, jusqu'au jour où il s'est mis à demander patte blanche (cookies et je ne sais quoi), ce que je fuis comme la peste à moins de pouvoir faire disparaître ce genre de pop-up invasive, ce qui n'est pas possible dans le cas de ce site. Moi je n'emmerde pas le monde avec ce genre de choses, sur aucun de mes sites.

De plus, que tu choisisses tes caractères spéciaux ou que tu laisses Javascript les choisir lui-même ne fait strictement aucune différence du point de vue de la sécurité du mot de passe, mais vraiment aucune. Ce qui importe est uniquement sa longueur.

Ernst a écrit :

Pour les sites en ligne, s’ils sont bien faits ils n’accepteront jamais des milliers d’essais à la seconde

Nous sommes d'accord, et d'aileurs j'en parle sur la page de mon générateur : "Une attaque en ligne serait impossible à cause des nombreux verrouillages et autres barrières mises en place sur le serveur."

Ernst a écrit :

alors que l’utilisateur ne devait PAS écrire quelque part ses mots de passe, maintenant qu’on lui impose d’utiliser les services en ligne il DOIT en choisir d’impossible à mémoriser, cherchez l'erreur…

Nouvelle citation de ma page : "Rappelons que la complexité d'un mot de passe ne représente aucune difficulté pour vous sur Internet puisque le navigateur vous propose de l'enregistrer". J'utilise environ 140 mots de passe tous différents, tous impossibles à mémoriser, mais tous enregistrés automatiquement par mon navigateur. De temps en temps j'effectue un export de cette base de données au format .csv ou .html afin d'éviter de les perdre au cas où mon ordi tomberait en rade. Et j'ai utilisé l'export pour les importer sur ma tablette.

Le problème avec un mot de passe mémorisable est que son propriétaire est porté, par facilité, à l'utiliser partout (je suis sûr que tu connais des gens dans ce cas, tout comme j'en connais). Résultat : si quelqu'un parvient à deviner ton mot de passe sur le site A et sait que tu es membre du site B, la première chose qu'il fera sera de le tester sur celui-ci. Pareil avec le site, C, D, etc., jusqu'au jour où il videra ton compte en banque.

Ernst · 21-08-2025 09:43:57

syrac a écrit :

Mais tu peux chercher la petite bête si tu as du temps à perdre ! :-)

Bonjour,

On se sera mal compris, c’était plus une amélioration que je proposais qu’une critique. Dans mon esprit cela ne coûte rien d’y mettre par défaut au moins un caractère accentué, au moins un chiffre, au moins un caractère spécial puisque ce sont les attendus actuels.

Quant au craquage lui-même, la théorie qui associe « taille de l’alphabet + longueur » à la résistance d’un mot de passe ne tient aucun compte de la méthode d’encryptage, ce qui en soi est quand même problématique :

MD5 : Utilisé pour l’intégrité des fichiers et des communications, il est aujourd’hui trivialement cassable via des attaques de type collision.

SHA-1 : Comme MD5, SHA-1 était utilisé pour signer et authentifier de nombreux échanges sur Internet, mais il est vulnérable à des attaques de collision depuis 2017 et son usage est déconseillé.

RC4 : Cet algorithme de chiffrement en flux a été abandonné car de nombreuses attaques permettent de retrouver la clé à partir de suffisamment de texte chiffré. Il était notamment utilisé dans les suites SSL/TLS.

Diffie-Hellman sur petits groupes : Certains échanges Diffie-Hellman utilisant de petits paramètres sont aujourd’hui dépréciés pour la négociation de clés dans TLS en raison de nouvelles attaques computationnelles.

Mais bon...

syrac · 21-08-2025 11:38:34

Ernst a écrit :

la théorie qui associe « taille de l’alphabet + longueur » à la résistance d’un mot de passe ne tient aucun compte de la méthode d’encryptage

La sécurité d'un mot de passe ne repose jamais sur le secret de l’algorithme (la méthode d'encryptage, ou plutôt de hashage). Le format du hash permet de toute façon à l'attaquant de l'identifier. Je viens par exemple de vérifier dans la base de données d'un forum phpBB 3.2 : mon mot de passe commence par $\$argon2id\$$..., qui est la signature de la méthode de hashage Argon2id, visible aussi bien de moi que du hacker qui aurait volé cette BDD. Il produit donc des milliards de mots de passe de longueur donnée, qu'il hashe à chaque fois en utilisant Argon2id, et qu'il compare au mien, jusqu'à ce que les deux correspondent. Et il peut faire ça à la vitesse de $10^4$ à $10^{12}$ hashes par seconde ; donc je n'ai aucune chance de lui échapper avec un mot de passe de longueur 8 (ou moins, oui ça existe !). En ce qui me concerne je ne crains pas grand chose puisque tous mes mots de passe sont de longueur 15, et comme je l'ai mentionné dans la page de mon générateur, à $10^{12}$ hashes/s il lui faudrait en moyenne 66 000 ans pour casser mon mot de passe, ou 66 ans à $10^{15}$ hashes/s.

syrac · 21-08-2025 15:36:27

J'ai porté l'alphabet de 51 à 58 symboles en ajoutant v, w, V, W, que j'avais manifestement omis (?), ainsi que 3 caractères spéciaux. Résultat, énorme augmentation des temps moyens pour cracker un MDP. Par exemple, pour un MDP de longueur 15, à $10^{12}$ essais/s on passe de 66 066 ans à 616 453 ans, et de 66 ans à 617 ans pour un nombre d'essais/s de $10^{15}$ (beaucoup moins courant). Pour les MDP de longueur 8 l'augmentation est nettement plus modeste : de 13 s à 39 s.

EDIT : une chose à ne pas oublier est que si un membre du forum se fait pirater son MDP ce n'est pas grave, le hacker se fera plaisir en semant la zizanie et en insultant tout le monde ; ce serait beaucoup plus grave s'il s'agissait du MDP d'un membre du staff, parce que le hacker pourrait se livrer à des actes destructeurs.

Dernière modification par syrac (21-08-2025 15:43:15)

syrac · 21-08-2025 18:23:10

Une question que plus d'un doit se poser je suppose est de savoir pourquoi on mentionne le nom de l'algorithme dans le hash qui l'a produit (comme $\$argon2id\$$ dont je viens de parler). N'est-ce pas ouvrir la porte à tous les hackers de la planète ? Voici ce qu'en dit GPT-5 :

Bonne question — et rassure-toi, ce n’est pas une porte ouverte.

Pourquoi le nom de l’algo est dans le hash ?

Auto-description : le hash contient l’algo et ses paramètres (coût, mémoire, sel). Ainsi, le serveur sait comment vérifier sans stocker d’infos à côté.
Évolutif : si tu changes d’algorithme ou de paramètres, les anciens mots de passe restent vérifiables, et on peut rehacher au nouveau standard au prochain login.
Portabilité : restaurer/migrer une base fonctionne partout, car chaque hash "dit" comment il a été produit.

Est-ce dangereux ?

Non : en sécurité, on ne compte jamais sur le secret de l’algorithme (principe de Kerckhoffs).
Un attaquant peut souvent le déduire (format du hash, code, doc…).
Ce qui protège vraiment : mot de passe long et aléatoire, KDF lent/mémoire-dur (Argon2id / bcrypt / scrypt) avec sel unique (le sel n’est pas secret), et idéalement une MFA. (Option avancée côté serveur : un pepper secret, non stocké dans la base.)

En bref : le nom de l’algo dans le hash, c’est pratique et nécessaire pour la vérification et l’évolution — et ça n’affaiblit pas la sécurité.

syrac · 22-08-2025 18:11:04

Ernst a écrit :

Pas mal de sites demandent aujourd’hui la présence d’une majuscule, d’un chiffre, d’un caractère spécial.

Un miracle s'est produit : en ouvrant le générateur à l'instant, j'ai vu que ton voeu avait été exaucé. Tu peux simplement vérifier d'un coup d'oeil si les exigences du site sont remplies, même pas besoin de spécifier quoi que ce soit. Alleluia !! Aller voir

syrac · 23-08-2025 12:57:23

Le site Bibmath a un sérieux problème : hier soir à minuit le présent fil avait recueilli 370 vues ; 12 heures plus tard il en compte 3734. Ce phénomène est dû à des bots malveillants, américains pour la plupart. J'en ai déjà parlé il y a plusieurs mois, sur le fil de l'automate si mes souvenirs sont bons.

Ceci dit, voici une page Wikipédia sur laquelle il est question du piratage des mots de passe, dont je recommande la lecture : https://fr.wikipedia.org/wiki/Salage_(cryptographie)

Bonne nouvelle pour les adeptes du mot de passe unique : GPT-5 m'a annoncé qu'il était possible de créer des mots de passe en mode déterministe. Voici comment ça fonctionne :

Je crée une page web locale (pas en ligne) comprenant deux champs de saisie.
Le premier champ est le mot de passe maître : ce peut être un mot quelconque, ou une phrase facilement mémorisable mais dénuée de sens.
Le second champ est l'identifiant : ce peut être un nom de domaine.

Supposons que je veuille créer deux mots de passe, l'un pour Amazon et l'autre pour Facebook. Pour mot maître je choisis "applaudir avec pieds" (la phrase ne doit pas seulement être dénuée de sens, mais également inconnue. "ma cabane au canada" ou "la petite maison dans la prairie" sont à exclure). Pour identifiant je prends successivement "amazon" et "facebook". J'obtiendrai deux mots de passe différents mais tous deux déterministes, dans le sens où avec le même mot maître et le même identifiant j'obtiendrai toujours le même mot de passe. Question subsidiaire : que se passe-t-il si Amazon me demande de changer mon mot de passe ? La réponse est qu'il faut indiquer une version différente. On le voit dans cet extrait du code de la fonction de hachage (oui, en français ch et non sh comme je le croyais) :

version = "v1",

...

const saltStr = `pwgen|${site.toLowerCase()}|${username}|${version}`;

Si je remplace "v1" par "v2" j'obtiendrai un mot de passe différent, toujours avec "applaudir avec pieds" et "amazon".

D'après GPT-5, on peut atteindre exactement la même entropie qu’avec mon générateur aléatoire non déterministe. On peut également satisfaire aux exigences d'un site sur le nombre de tel type de caractère, de la même manière que le fait mon générateur par clics successifs sur le bouton Nouveau.

Le seul avantage du générateur déterministe par rapport au mien est donc le fait qu'il permet de n'avoir à retenir qu'une seule phrase, l'identifiant correspondant (ou non) au nom de domaine du site visé. C'est le concept de "mot de passe unique", mais en version beaucoup plus élaborée et surtout sécurisée.

syrac · 23-08-2025 13:55:27

Voici la page web que GPT-5 m'a concoctée. Résultat pour le site Amazon. Si je remplace l'identifiant par "facebook" j'obtiens le mot de passe 8P6B+jw@*mTZEe5. Si je reviens à "amazon" j'obtiens bien le même mot de passe que la première fois.

Question à GPT-5 : "Si le générateur me sort un mot de passe sans caractères spéciaux alors que le site visé m'en demande au moins 1, je l'ajoute/remplace manuellement ?"

Sa réponse :

Évite de modifier le mot de passe à la main : tu perds la reproductibilité du mode déterministe (et tu risques d’introduire un petit motif).
Le plus simple, sans changer ton UI : augmente “Version” (1 → 2 → 3 …) et régénère jusqu’à ce qu’il y ait au moins 1 spécial. Comme chaque version produit un résultat déterministe différent, tu gardes un MDP reproductible (il suffit de retenir la version utilisée pour ce site).

Pour agrandir l'image à 100%, faites un clic-droit > Ouvrir l'image dans un nouvel onglet

Générateur déterministe

Dernière modification par syrac (23-08-2025 13:59:15)

syrac · 09-09-2025 00:01:54

Nouveau site pour une double application web dédiée à la création de mots de passe : un générateur et un dérivateur.

syrac · 17-09-2025 13:12:37

Amélioration majeure de l'application web de dérivation de clé : tous les mots de passe sont garantis à 100 % contenir au moins un exemplaire de chaque type de caractère (minuscules, majuscules, chiffres, spéciaux), ceci sans modifier ce que produit l'algorithme PBKDF2-SHA-256. Explications dans la section "Version" de l'accordéon. Dérivateur

syrac · 01-10-2025 00:25:42

Rebonjour,

Je viens de refondre complètement ces deux applications web en Vue 3, ce qui m'a permis de réunir les deux en une seule. La grande nouveauté est l'ajout d'une liste de domaines dans le Dérivateur après avoir fait le constat que ne pas se souvenir des domaines avec lesquels on l'avait utilisé était dépourvu de sens. C'est vous qui la constituez (il s'agit d'un simple fichier texte), et vous la sauvegardez et la chargez depuis l'application même. Elle interagit avec le Dérivateur en sorte de pouvoir récupérer un mot de passe en deux clics.

J'en ai profité pour expliquer comment je crée des mots de passe déterministes garantis complets (possédant au moins un exemplaire de chaque type de caractère), ce qui à première vue peut sembler contradictoire.

J'ai créé un domaine spécialement pour cette application : https://cleforte.fr

syrac · 18-10-2025 12:07:52

Dernière mise à jour de https://cleforte.fr : il est maintenant bilingue français-anglais, a bénéficié de nombreuses améliorations, mais surtout j'ai ajouté la possibilité de créer un nombre illimité de mots de passe déterministes (donc reproductibles) basés sur une clé secrète et un domaine (oui, la phrase "nombre illimité de mots de passe déterministes" peut sembler bizarre, mais ça fonctionne). Très utile lorsqu'un site refuse un mot de passe parce qu'il a trop de ceci ou pas assez de cela ... ou parce que sa tête ne nous revient pas.

Forum de mathématiques - Bibm@th.net

#1 19-08-2025 14:24:49

Générateur de mots de passe

#2 20-08-2025 14:45:13

Re : Générateur de mots de passe

#3 20-08-2025 16:20:23

Re : Générateur de mots de passe

#4 20-08-2025 16:43:04

Re : Générateur de mots de passe

#5 20-08-2025 17:04:19

Re : Générateur de mots de passe

#6 20-08-2025 18:37:43

Re : Générateur de mots de passe

#7 20-08-2025 23:16:04

Re : Générateur de mots de passe

#8 21-08-2025 09:43:57

Re : Générateur de mots de passe

#9 21-08-2025 11:38:34

Re : Générateur de mots de passe

#10 21-08-2025 15:36:27

Re : Générateur de mots de passe

#11 21-08-2025 18:23:10

Re : Générateur de mots de passe

#12 22-08-2025 18:11:04

Re : Générateur de mots de passe

#13 23-08-2025 12:57:23

Re : Générateur de mots de passe

#14 23-08-2025 13:55:27

Re : Générateur de mots de passe

#15 09-09-2025 00:01:54

Re : Générateur de mots de passe

#16 17-09-2025 13:12:37

Re : Générateur de mots de passe

#17 01-10-2025 00:25:42

Re : Générateur de mots de passe

#18 18-10-2025 12:07:52

Re : Générateur de mots de passe

Réponse rapide

Pied de page des forums