Générez des nombres, mots de passe ou chaînes aléatoires sécurisés.
Les nombres aléatoires ne sont pas aussi aléatoires qu'ils en ont l'air — et quand cela importe
La plupart des générateurs de nombres aléatoires logiciels, y compris celui de votre navigateur, sont pseudo-aléatoires — ils utilisent un algorithme déterministe amorcé par une valeur imprévisible (comme l'horodatage actuel en microsecondes). Pour les jeux, les simulations, les tirages aléatoires et les lancers de dés, c'est parfaitement suffisant. Pour les usages cryptographiques — génération de mots de passe, clés secrètes ou jetons de sécurité — vous avez besoin d'un générateur de nombres aléatoires cryptographiquement sécurisé auquel les navigateurs accèdent via la Web Crypto API, que cet outil utilise pour la génération de mots de passe.
La robustesse d'un mot de passe dépend presque entièrement de sa longueur et de la taille du jeu de caractères. Un mot de passe de 8 caractères utilisant uniquement des lettres minuscules présente 26^8 combinaisons possibles — environ 200 milliards, ce qui semble beaucoup jusqu'à ce que les GPU modernes le craquent en quelques heures. Un mot de passe de 16 caractères tiré d'un pool de 94 caractères (lettres, chiffres, symboles) offre 94^16 combinaisons — plus de 10^31, ce qui est computationnellement impossible à forcer. Chaque caractère supplémentaire multiplie l'espace de recherche de façon exponentielle.
Frequently asked questions
Dans quelle mesure un générateur de nombres aléatoires sur un site web est-il vraiment aléatoire ?
Pour les usages non sécuritaires, la génération de nombres aléatoires côté navigateur est <strong>effectivement aléatoire pour un usage pratique</strong>. Les nombres ne sont pas vraiment aléatoires au sens physique du terme, mais les séquences sont suffisamment longues et imprévisibles pour passer tous les tests statistiques standard de caractère aléatoire. La distinction n'importe que si vous générez du matériel cryptographique — clés secrètes, mots de passe ou jetons — auquel cas la Web Crypto API (qu'utilise cet outil) fournit un caractère aléatoire véritablement cryptographiquement sécurisé.
Qu'est-ce qui rend un mot de passe robuste ?
La longueur compte davantage que la complexité. <strong>Un mot de passe de 16 caractères est spectaculairement plus robuste qu'un mot de passe de 8 caractères</strong>, même si le plus court utilise davantage de caractères spéciaux. Les maths : chaque caractère ajouté multiplie l'espace de recherche par force brute par la taille du pool. Utilisez au moins 16 caractères pour tout mot de passe protégeant un vrai compte. Utilisez un gestionnaire de mots de passe — le goulot d'étranglement n'est pas de générer des mots de passe robustes, c'est de les stocker pour ne pas réutiliser le même sur plusieurs sites.
Un tirage aléatoire d'un nom ou d'un élément dans une liste est-il équitable ?
Oui, à des fins pratiques — chaque élément de la liste a une probabilité égale d'être sélectionné. L'hypothèse d'équité ne tient que si votre liste contient des <strong>entrées en double</strong>, auquel cas les doublons ont une probabilité proportionnellement plus élevée. Si vous organisez un tirage au sort ou un concours avec des enjeux matériels, envisagez une source de caractère aléatoire public vérifiable comme le NIST Randomness Beacon ou un tirage de loterie transparent, car les tirages effectués dans un navigateur ne peuvent pas être audités de façon indépendante après coup.
Quelle est la différence entre un nombre aléatoire et un lancer de dé ?
Mécaniquement, un lancer de dé n'est qu'un entier aléatoire dans une plage fixe — un d6 est un nombre aléatoire de 1 à 6, un d20 de 1 à 20. La différence est que <strong>les dés physiques ont des défauts connus</strong> : une fabrication imparfaite, des faces usées et la texture de la surface biaisent légèrement les résultats sur des milliers de lancers. Les lancers de dés logiciels sont mathématiquement non biaisés dans leur plage. Pour les jeux de rôle sur table, la différence pratique est négligeable. Pour les simulations statistiques, les dés logiciels sont plus fiables.