Vérificateur de force de mot de passe

Entropie estimée et temps de cassage pour tout mot de passe.

Rien de ce que vous tapez n'est envoyé au serveur — tout s'exécute dans votre navigateur.

Entropie
Temps d'attaque hors ligne
Note

    Ce qui fait un mot de passe fort

    La force se mesure en bits d'entropie — grossièrement, le nombre d'essais qu'un attaquant doit faire pour trouver le mot de passe par force brute. Chaque bit supplémentaire double le nombre d'essais. Tout ce qui est en dessous de 40 bits est faible ; 60+ est sûr contre les attaques hors ligne ; 80+ est exagéré pour la plupart des usages.

    La longueur l'emporte sur la complexité. « correct horse battery staple » — quatre mots courants aléatoires — a plus d'entropie et est plus facile à retenir que « P@ssw0rd ! ». Ce dernier coche toutes les règles de « mélange de symboles » mais figure dans chaque dictionnaire d'attaque. Mieux : utilisez un gestionnaire de mots de passe pour générer des chaînes aléatoires uniques de 20 caractères pour chaque compte. Vous n'avez qu'à vous souvenir du mot de passe maître du gestionnaire.

    Frequently asked questions

    Comment la force d'un mot de passe est-elle mesurée ?
    En bits d'entropie. Chaque bit supplémentaire double le nombre d'essais requis. Un mot de passe avec 40 bits d'entropie demande environ mille milliards d'essais en brute force. En dessous de 30 bits c'est faible ; 60+ est fort ; 80+ est exagéré pour la plupart des usages grand public. L'entropie dépend de la longueur et de la variété de l'ensemble de caractères.
    « P@ssw0rd ! » est-il un mot de passe fort ?
    Non. Il a une entropie correcte sur le papier mais figure dans tous les dictionnaires de cracking — le schéma « ajouter chiffres et ponctuation à des mots courants » est la première chose que les attaquants essaient. La vraie aléa compte plus que la variété des caractères. Une passphrase aléatoire de 6 mots (diceware ou similaire) le bat facilement.
    Qu'est-ce qui casse vraiment les mots de passe ?
    Trois attaques, approximativement dans cet ordre : (1) credential stuffing — les attaquants réutilisent des mots de passe fuités sur d'autres sites, c'est pourquoi ne jamais réutiliser compte plus que leur force ; (2) phishing — on vous pousse à le saisir quelque part ; (3) brute force — pertinent seulement pour des mots de passe faibles ou des attaques hors ligne sur des hachages volés. Un gestionnaire de mots de passe plus 2FA bat 1 et 2.
    Dois-je utiliser un gestionnaire de mots de passe ?
    Oui, sans ambiguïté. Ceux gratuits (Bitwarden, KeePass) sont excellents. Un gestionnaire vous permet d'utiliser des mots de passe aléatoires uniques de 20 caractères partout sans avoir à en retenir un seul. Combiné avec une 2FA matérielle (YubiKey) ou TOTP (Authy/Google Authenticator), cela déjoue plus de 99 % des attaques réelles.

    Remboursement de carte

    Mois pour rembourser et intérêts totaux, de deux façons.

    Salaire net

    Salaire net après impôts fédéraux, FICA et d'État.

    Refinancement

    Quand les économies mensuelles couvriront-elles les frais de clôture ?