Test de mot de passe :
calculez le temps
de crack en secondes
Analysez la resistance de vos mots de passe face aux attaques modernes. Calculs bases sur les benchmarks GPU reels de 2026.
Temps moyen pour trouver le mot de passe (50% des combinaisons testees). Hash MD5 sauf mention contraire.
Stockage bcrypt (32 iterations)
bcrypt est le standard recommande pour stocker les mots de passe. Meme un cluster de 16 RTX 5090 ne teste que 5 millions de hashes par seconde, contre 3 348 milliards en MD5.
Attaque quantique (algorithme de Grover)
L'algorithme de Grover offre une acceleration quadratique : il divise l'entropie effective par 2. Un mot de passe de 128 bits d'entropie n'en offre plus que 64 face a un ordinateur quantique.
Le brute force pur (tester toutes les combinaisons) est le pire scenario pour l'attaquant. En realite, les attaques modernes commencent par des methodes bien plus efficaces :
1. Listes de mots de passe fuites : Have I Been Pwned recense plus de 10 milliards de credentials compromis. Si votre mot de passe a deja fuite, il sera teste en priorite, peu importe sa complexite.
2. Attaques par dictionnaire : des listes de millions de mots de passe courants sont testees en quelques secondes. "Soleil2024!" semble complexe mais figure probablement dans ces listes.
3. Substitutions connues : remplacer "a" par "@", "e" par "3" ou "o" par "0" ne trompe pas les outils modernes. Hashcat teste systematiquement ces variantes avec ses "rules" : un mot du dictionnaire avec substitutions tombe en quelques secondes.
Les temps affiches ici supposent un brute force total sur un mot de passe aleatoire. Un mot de passe base sur un mot reel, meme modifie, sera trouve beaucoup plus rapidement.
Les temps affiches en MD5 supposent un algorithme de hachage rapide. C'est le scenario le plus defavorable : MD5 est obsolete pour le stockage de mots de passe.
Un service qui stocke correctement les mots de passe utilise bcrypt (ou Argon2, scrypt). Avec bcrypt a 32 iterations, la vitesse d'attaque est reduite d'un facteur superieur a 600 000 par rapport au MD5.
En pratique : un cluster de 16 RTX 5090 teste 3 348 milliards de hashes MD5 par seconde, mais seulement 5 millions de hashes bcrypt. C'est la difference entre quelques heures et des millenaires pour un meme mot de passe.
Conclusion : la robustesse de votre mot de passe depend autant du service qui le stocke que de sa complexite. Privilegiez les services qui utilisent bcrypt, Argon2 ou scrypt.
Comparons deux mots de passe :
"Tr0b!x#9" (8 caracteres, tous types) : alphabet de 94 caracteres, entropie = 52 bits. Un cluster RTX 5090 x12 le trouve en environ 10 minutes en MD5.
"cheval batterie agrafes correct" (31 caracteres, minuscules + espaces) : alphabet de 27 caracteres, mais entropie = 147 bits. Le meme cluster mettrait des millenaires.
L'entropie vient de la longueur, pas de la complexite percue. Chaque caractere supplementaire multiplie les combinaisons par la taille de l'alphabet. Un mot de passe long avec un alphabet simple bat systematiquement un mot de passe court avec un alphabet complexe.
Conseil : pour vos comptes importants, utilisez une phrase de passe de 4 a 6 mots aleatoires. C'est plus facile a retenir et plus robuste qu'un mot de passe court rempli de symboles.
Utilisez notre generateur de mot de passe pour creer des mots de passe aleatoires et robustes en un clic.
🔐 Generateur de mot de passeComment evaluer la robustesse d'un mot de passe
Entropie et benchmarks reels
L'entropie mesure l'imprevisibilite d'un mot de passe. Notre outil calcule le nombre exact de combinaisons et le confronte aux vitesses d'attaque reelles des GPU modernes (RTX 5090, clusters).
Scenarios concrets
Chaque scenario represente une menace reelle : de l'attaque en ligne limitee au cluster GPU professionnel. Vous visualisez le temps necessaire pour chaque type d'attaquant.
Vie privee garantie
Votre mot de passe n'est jamais envoye. Tout le calcul s'effectue localement dans votre navigateur via JavaScript natif. Vous pouvez utiliser cet outil meme hors-ligne.
L’outil ci-dessus calcule le temps qu’un attaquant mettrait à parcourir toutes les combinaisons possibles de votre mot de passe. Mais un test de mot de passe basé uniquement sur le brute force mathématique ne suffit pas à mesurer votre exposition réelle. Ce qui suit explique comment lire les résultats, pourquoi certains mots de passe « forts » sont en pratique très faibles, et ce que vous devez changer après avoir effectué ce test.
Comment lire les résultats de votre test de mot de passe
Chaque scénario affiché correspond à une situation d’attaque différente. Le réflexe naturel est de regarder le chiffre le plus rassurant. C’est souvent une erreur, parce que les scénarios ne sont pas interchangeables.
Le scénario « Attaque en ligne » simule une tentative sur un formulaire de connexion exposé sur Internet, limité à 100 essais par seconde par les protections côté serveur. Ce chiffre s’applique uniquement aux comptes non compromis accessibles via une interface web. Dès qu’une base de données est volée et que l’attaquant travaille localement sur des hashes récupérés, les règles changent radicalement.
Les scénarios GPU représentent une attaque hors ligne sur des hashes extraits lors d’une fuite de données. Selon les benchmarks Hashcat 7.1.2 publiés en février 2026, un seul RTX 5090 teste 197 milliards de combinaisons par seconde sur MD5. Un cluster de 16 cartes atteint 3 348 milliards par seconde. Ce ne sont pas des estimations théoriques : ce sont des mesures publiées sur du matériel disponible à la vente (OnlineHashCrack, 2026).
Le scénario bcrypt est délibérément séparé. Un service qui stocke correctement les mots de passe avec bcrypt réduit la vitesse d’attaque à 312 000 hashes par seconde pour un seul RTX 5090, contre 197 milliards en MD5. Ce ratio de 1 pour 630 000 explique pourquoi le même mot de passe résiste quelques heures sous MD5 et plusieurs siècles sous bcrypt. Quand vous effectuez un test de mot de passe, vous ne contrôlez pas l’algorithme de stockage utilisé par chaque service : c’est une raison supplémentaire de viser une longueur élevée.
Le niveau de sécurité global (Critique, Faible, Moyen, Fort, Excellent) est calculé sur le scénario Cluster RTX 5090 x12 en MD5. C’est le scénario de référence le plus utilisé dans la littérature de cybersécurité, notamment par Hive Systems dans leur Password Table 2025, parce qu’il correspond à ce qu’un attaquant motivé peut réellement déployer.
Pourquoi votre mot de passe complexe est peut-être plus faible que vous ne le croyez
Effectuer un test de mot de passe comme « P@ssw0rd2024! » avec un outil basique donne souvent un score « fort ». Ce résultat est trompeur. La plupart des testeurs comptent les types de caractères et calculent une entropie brute. Ils ignorent ce que les hackers savent depuis des années : les substitutions classiques sont intégrées dans les listes d’attaque en priorité.
Hashcat, le logiciel de référence pour les audits de sécurité, dispose de centaines de règles de mutation pré-configurées. Chaque mot du dictionnaire est automatiquement testé avec toutes ses variantes : première lettre en majuscule, remplacement de « a » par « @ », de « e » par « 3 », de « o » par « 0 », de « s » par « 5 », ajout d’un chiffre ou d’un point d’exclamation en fin. « P@ssw0rd! » est testé en quelques millisecondes à cette étape, avant même que le brute force pur ne commence.
Les attaques par dictionnaire passent avant le brute force
Une attaque brute force pure, tester toutes les combinaisons dans l’ordre, est le dernier recours d’un attaquant. Le pipeline réel d’une attaque moderne suit cet ordre précis.
Étape 1 : credential stuffing. L’attaquant commence par tester directement les couples email/mot de passe issus de fuites passées. En novembre 2025, Troy Hunt a indexé dans Have I Been Pwned près de 2 milliards d’adresses email et 1,3 milliard de mots de passe compilés par Synthient depuis des listes de credential stuffing actives (Troy Hunt, 2025). Si vous réutilisez un mot de passe entre plusieurs services, votre compte peut tomber à cette étape en quelques secondes, quelle que soit sa complexité.
Étape 2 : attaque par dictionnaire. Des listes de plusieurs millions de mots de passe courants, de mots du dictionnaire et de variantes documentées sont testées méthodiquement. « Soleil2024 », « Montpellier33 », « Admin!1 » y figurent. Un GPU moderne parcourt ces listes en quelques secondes.
Étape 3 : règles de mutation. Hashcat applique ses règles de transformation sur chaque entrée du dictionnaire. C’est là que tombent les mots de passe améliorés par des substitutions classiques ou l’ajout d’un chiffre en fin de chaîne.
Étape 4, seulement : brute force pur. Quand toutes les étapes précédentes ont échoué, l’attaquant passe à l’énumération exhaustive. Un test de mot de passe qui affiche uniquement le temps brute force peut induire en erreur : un mot de passe vulnérable aux étapes 1, 2 ou 3 montrera un temps de résistance élevé et tombera quand même en quelques secondes en pratique.
L’écart entre MD5 et bcrypt : 630 000 fois
La vitesse d’attaque dépend autant de l’algorithme de hachage utilisé par le service que de la solidité de votre mot de passe. MD5, encore présent sur de nombreux sites anciens, est optimisé pour la rapidité. Un cluster de 16 RTX 5090 atteint 3 348 milliards de hashes MD5 par seconde selon les benchmarks Hashcat de février 2026.
Avec bcrypt en 32 itérations, recommandé par l’OWASP comme standard minimal, le même cluster ne teste plus que 5,13 millions de hashes par seconde. Le ratio est de 1 pour 653 000. Un mot de passe qui tomberait en 3 heures sous MD5 résisterait théoriquement plus de 200 ans sous bcrypt avec le même matériel. Vous n’avez aucun moyen de savoir quel algorithme utilise le service sur lequel vous êtes inscrit : raison de plus pour choisir un mot de passe suffisamment long.
Longueur ou complexité : ce que les chiffres tranchent
Le débat est tranché par le calcul d’entropie. L’entropie d’un mot de passe se calcule ainsi : longueur multipliée par log₂ de la taille de l’alphabet utilisé. Plus l’entropie est élevée en bits, plus le nombre de combinaisons à tester est grand, et le temps de crack augmente exponentiellement.
Comparaison concrète entre deux mots de passe. Premier test de mot de passe : « Tr7#mK9@ » (8 caractères, alphabet de 94 : minuscules, majuscules, chiffres, symboles courants). Entropie : 52,4 bits, soit 6,1 x 10¹⁵ combinaisons. Temps sur cluster RTX 5090 x12 en MD5 : environ 43 minutes.
Deuxième test de mot de passe : « cheval-batterie-agrafes-correct » (30 caractères, alphabet de 28 : minuscules et tiret). Entropie : 143 bits. Combinaisons : 1,1 x 10⁴³. Temps sur le même cluster : plusieurs quintillions d’années. La longueur écrase la complexité sans discussion.
Chaque caractère supplémentaire multiplie le nombre de combinaisons par la taille de l’alphabet. Passer de 8 à 16 caractères en minuscules uniquement donne plus d’entropie qu’un mot de passe de 8 caractères utilisant tous les types de caractères. C’est la conclusion du NIST depuis sa révision des recommandations en 2017, confirmée dans le guide SP 800-63B mis à jour en 2024.
Pour les mots de passe que vous devez mémoriser, la phrase de passe est la méthode la plus efficace. Quatre mots courants séparés par un tiret ou un chiffre produisent une entropie inattaquable tout en restant mémorisables. Le générateur intégré à cet outil peut en produire une directement.
Tableau de référence : temps de crack selon le type de mot de passe
Les durées ci-dessous sont calculées sur un cluster de 12 RTX 5090 (benchmarks Hive Systems 2025 et Hashcat 7.1.2), en supposant que 50 % des combinaisons sont testées en moyenne. Deux colonnes : MD5 (hash rapide, pire cas côté protection) et bcrypt 32 itérations (standard recommandé). Avant de comparer votre test de mot de passe à cette table, gardez en tête que les lignes marquées « dictionnaire » tombent en pratique bien avant le temps brute force affiché.
| Exemple | Longueur | Entropie | 12x RTX 5090 / MD5 | 12x RTX 5090 / bcrypt |
|---|---|---|---|---|
| azerty | 6 car. | 28 bits | Instantané | Quelques secondes |
| 123456789 | 9 car. | 30 bits | Instantané | Quelques secondes |
| P@ssw0rd! (pattern connu) | 9 car. | 59 bits | Instantané (dictionnaire) | Instantané (dictionnaire) |
| Tr7#mK9@pL2 | 11 car. | 72 bits | 4 heures | 3 siècles |
| X9k#mQr2@vLpT! | 14 car. | 92 bits | 2 ans | Inviolable |
| soleil-montagne-riviere-bleu | 28 car. | 132 bits | Inviolable | Inviolable |
| cheval-batterie-agrafes-correct | 30 car. | 143 bits | Inviolable | Inviolable |
Note sur la ligne « P@ssw0rd! » : le temps brute force affiché serait de plusieurs heures. En pratique, ce mot de passe figure dans les listes de mutation prioritaires de Hashcat et tombe en quelques millisecondes lors d’une attaque par règles. Un test de mot de passe qui ne détecte pas les patterns de substitution donne un faux sentiment de sécurité. Notre outil signale explicitement ces patterns via la détection intégrée.
Mots de passe professionnels : un cadre de risque différent
Effectuer un test de mot de passe personnel et tester un accès professionnel ne relèvent pas du même cadre de risque. Un accès VPN, un compte administrateur, une messagerie professionnelle ou un outil de gestion ont des surfaces d’attaque différentes et des conséquences potentiellement bien plus graves.
Les attaques sur les comptes professionnels sont souvent ciblées. Un attaquant qui vise une PME dispose d’informations contextuelles publiquement accessibles : nom de l’entreprise, secteur d’activité, noms des équipes sur LinkedIn. Les mots de passe construits sur ces données tombent rapidement même avec une entropie apparemment correcte, parce que l’espace de recherche est réduit par le contexte connu de l’attaquant.
Selon le rapport Verizon DBIR 2024, 68 % des violations de données impliquent un facteur humain, dont la réutilisation de mots de passe comme premier vecteur d’accès. Pour les accès critiques, l’objectif n’est pas de tester un mot de passe existant pour voir s’il résiste : c’est de le remplacer par un identifiant généré aléatoirement et stocké dans un gestionnaire dédié.
Le second facteur d’authentification reste la mesure la plus efficace sur les comptes professionnels exposés à Internet. Un mot de passe fort sans 2FA reste vulnérable au phishing, au keylogging et au vol de session, trois vecteurs qu’aucun test de robustesse ne peut mesurer ni prévenir.
L’horizon quantique : ce que le test de mot de passe ne mesure pas encore
L’outil inclut un scénario quantique avec une mention explicite : aucun ordinateur quantique capable de réaliser cette attaque n’existe à ce jour. Ce scénario est présent pour la pédagogie sur ce que le quantique changerait réellement, et pour répondre honnêtement aux questions légitimes sur ce sujet.
L’algorithme de Grover, développé en 1996, s’attaque aux problèmes de recherche non structurée, dont le brute force de mots de passe. Son principe : là où un ordinateur classique doit tester N combinaisons, un ordinateur quantique idéal n’en teste que la racine carrée de N, ce qui divise l’entropie effective par deux.
En pratique, un mot de passe de 128 bits d’entropie résisterait à l’équivalent de 64 bits face à un adversaire quantique idéal. Pour un mot de passe correctement construit, c’est encore très solide. La parade est simple : viser une entropie d’au moins 128 bits, soit une phrase de passe de 20 caractères ou plus. C’est exactement ce que recommandent les standards post-quantiques du NIST publiés en 2024 pour la cryptographie symétrique.
Sur l’horizon temporel : les experts situent le « Q-Day » au mieux dans les années 2030, avec une incertitude importante (Nomios Group, décembre 2025). En 2026, la plus grande démonstration de l’algorithme de Grover opère sur quelques dizaines d’éléments. La menace réelle aujourd’hui concerne les clés de chiffrement des protocoles réseau, pas le test de robustesse d’un mot de passe individuel.
Ce qu’il faut faire après le test de mot de passe
Si votre test de mot de passe affiche un résultat inférieur à un an sur le scénario Cluster GPU, le mot de passe doit être remplacé. Si un pattern faible est détecté (substitution classique, séquence clavier, mot du dictionnaire), le résultat numérique est de toute façon non fiable.
Générez un mot de passe avec l’outil intégré. Le générateur disponible sur cette page produit des mots de passe ou des phrases de passe conformes aux recommandations actuelles. Le résultat est automatiquement injecté dans le testeur pour que vous puissiez vérifier immédiatement le niveau de résistance obtenu.
Utilisez un gestionnaire de mots de passe. Bitwarden (open source, gratuit), 1Password ou KeePassXC permettent de stocker des identifiants différents pour chaque service sans les mémoriser. La réutilisation reste le premier vecteur de compromission documenté dans les études sectorielles annuelles.
Activez le second facteur d’authentification sur vos comptes critiques : messagerie principale, banque, gestionnaire de mots de passe lui-même. Une application dédiée comme Ente Auth ou Aegis est préférable aux SMS, interceptables par sim swapping.
Vérifiez si vos anciens mots de passe ont fuité sur Have I Been Pwned. La base recense aujourd’hui plus de 15 milliards de credentials issus de milliers de violations documentées. En 2025, Synthient a ajouté à lui seul 1,3 milliard de mots de passe issus de listes actives de credential stuffing (Troy Hunt, novembre 2025). Si un de vos mots de passe y figure, considérez-le comme public, quelle que soit sa longueur.
Pour partager vos accès Wi-Fi sans afficher votre mot de passe en clair, notre générateur de QR code vous permet de créer un QR partageable en quelques secondes, sans que le mot de passe n’apparaisse nulle part à l’écran.
Questions fréquentes
Tout comprendre sur le test de mot de passe
Cela dépend de trois variables : la longueur du mot de passe, l’alphabet utilisé, et l’algorithme de hachage du service ciblé. Un test de mot de passe de 8 caractères en minuscules uniquement montre une résistance de quelques secondes sur un GPU moderne en MD5. Le même mot de passe stocké avec bcrypt résiste plusieurs années. Un mot de passe de 16 caractères aléatoires reste hors de portée pendant des millénaires, même avec un cluster de RTX 5090.
Sur cet outil, non : tout le calcul s’effectue dans votre navigateur, aucune donnée n’est transmise à un serveur. En revanche, évitez de tester votre vrai mot de passe actuel sur des outils inconnus. La bonne pratique est de tester un mot de passe équivalent, même longueur et mêmes types de caractères, plutôt que celui que vous utilisez réellement.
Pas nécessairement. Les symboles augmentent l’entropie mathématique, mais les outils d’attaque comme Hashcat incluent des règles de mutation qui testent automatiquement les substitutions classiques : @ pour a, 3 pour e, 0 pour o, 1 pour l, 5 pour s. Un mot de passe comme P@ssw0rd! est considéré comme faible en pratique malgré ses symboles, parce qu’il suit un pattern documenté. La longueur reste le facteur dominant.
Bcrypt est un algorithme de hachage conçu pour être intentionnellement lent. Contrairement à MD5 optimisé pour la rapidité, bcrypt impose un coût de calcul configurable. Un cluster de 16 RTX 5090 teste 3 348 milliards de hashes MD5 par seconde, mais seulement 5,13 millions de hashes bcrypt par seconde. Ce ratio de 650 000 pour 1 explique pourquoi le même mot de passe résiste quelques heures sous MD5 et plusieurs siècles sous bcrypt. Vous ne contrôlez pas l’algorithme utilisé par chaque service : raison de plus pour viser une longueur élevée lors de votre test de mot de passe.
Non. En 2026, les ordinateurs quantiques les plus avancés peuvent démontrer l’algorithme de Grover sur des espaces de quelques dizaines d’éléments. L’algorithme théoriquement applicable aux mots de passe divise l’entropie effective par deux, mais ne rend pas le brute force instantané. Pour un mot de passe de 20 caractères ou plus, la marge reste confortable. Le consensus des experts situe la menace réelle sur les infrastructures de chiffrement asymétrique, pas sur les mots de passe individuels.
Une attaque brute force teste toutes les combinaisons possibles dans l’ordre : c’est le dernier recours d’un attaquant. Une attaque par dictionnaire part de listes de mots de passe connus et les teste directement, ce qui est exponentiellement plus rapide pour les mots de passe prévisibles. En pratique, les attaquants commencent par le credential stuffing, puis le dictionnaire, puis les règles de mutation. Le brute force pur n’intervient que si tout le reste a échoué.
La recommandation du NIST (guide SP 800-63B, 2024) a évolué : changer un mot de passe fort régulièrement n’améliore pas la sécurité si le nouveau mot de passe est prévisible. La priorité est d’avoir un mot de passe unique par service et de le changer immédiatement en cas de fuite détectée. Vérifier ses adresses email sur Have I Been Pwned régulièrement est plus efficace qu’une rotation arbitraire tous les 90 jours.
La phrase de passe est la méthode la plus efficace : quatre à six mots courants séparés par un caractère non alphabétique comme un tiret ou un chiffre. Une phrase comme cheval-batterie-agrafes-correct offre plus de 140 bits d’entropie et reste mémorisable. Le générateur intégré à cet outil peut en produire une directement. Pour les comptes critiques, utilisez un gestionnaire de mots de passe et supprimez entièrement la contrainte de mémorisation.
Changez-le immédiatement sur tous les services où vous l’utilisez. Si vous réutilisez ce mot de passe sur plusieurs sites, chacun de ces comptes est potentiellement compromis. Activez le second facteur d’authentification partout où c’est possible. Vérifiez ensuite vos autres mots de passe sur Have I Been Pwned pour identifier d’autres expositions. Ne réutilisez jamais un mot de passe apparu dans une fuite, même avec une légère modification.
Les calculs sont effectues directement dans votre navigateur via JavaScript natif. Aucune donnee n'est transmise ni conservee par Osmova. Conditions d'utilisation