search

Found

info Aperçu

Longueur, ensemble de caractères, bits force brute, entropie Shannon et temps de cassage d'un mot de passe selon trois modèles d'attaque.

📘 Mode d'emploi

  1. Saisissez le mot de passe à évaluer dans le champ de saisie
  2. Sélectionnez un modèle d'attaquant (en ligne, KDF hors-ligne ou GPU)
  3. Consultez l'ensemble de caractères, l'entropie Shannon et le temps de cassage estimé

Calculateur entropie Shannon mot de passe

L'entrée est traitée localement dans votre navigateur.

※ Entropie force brute = longueur × log2(taille du pool). Shannon mesure l'information par caractère selon la fréquence observée.

※ Ces valeurs sont des approximations et ignorent les attaques par dictionnaire, fuites ou données personnelles. En production, associez gestionnaire de mots de passe et authentification multifacteur.

Longueur
0 car.
Ensemble caractères
0 symboles
Entropie force brute
0 bits
Shannon (par car.)
0.00 bits/car.
Shannon (total)
0 bits

Temps de cassage estimé

Classes de caractères détectées

a-z A-Z 0-9 !@# U+

grid_view Similaires

Article

Calculateur entropie Shannon mot de passe | Pool de caractères, bits Shannon et temps de cassage par modèle

Calculez la longueur, l'ensemble de caractères, l'entropie de force brute (bits) et l'entropie Shannon (bits par caractère) d'un mot de passe, puis observez le temps de cassage estimé selon trois modèles d'attaquant dans une seule vue. Conçu pour révéler l'écart entre la complexité apparente d'un mot de passe et sa difficulté réelle à deviner.

💡 À propos de cet outil

La plupart des indicateurs affichent une barre colorée et s'arrêtent là. Cela ne dit presque rien sur la menace contre laquelle vous vous défendez. Un mot de passe qui résiste des siècles face à un formulaire de connexion à débit limité peut tomber en quelques heures dès qu'un attaquant vole le hachage et le traite sur une carte GPU. Ce calculateur sépare ces scénarios au lieu de les réduire à un score unique.

Deux nombres font l'essentiel. L'entropie de force brute vaut longueur × log2(taille du pool) : le plafond théorique en supposant que l'attaquant parcourt toutes les combinaisons de l'ensemble de caractères. L'entropie Shannon est calculée à partir des fréquences réelles des caractères saisis, si bien que les répétitions ou les biais la font baisser. Quand les deux divergent, cet écart signale que le mot de passe paraît plus dense qu'il ne l'est (comparez aaaa1111 et k7Qm9xZr).

Les trois modèles d'attaquant diffèrent de plusieurs ordres de grandeur en vitesse : en ligne (~10^4/s) modélise un point d'accès à débit limité ; KDF hors-ligne (~10^10/s) modélise un hachage volé protégé par un KDF lent comme bcrypt ; et GPU hors-ligne (~10^12/s) modélise un hachage rapide à un seul tour comme SHA-256 cassé sur des clusters GPU. Basculer entre eux montre pourquoi saler ses hachages et utiliser bcrypt n'est pas du folklore : le même mot de passe peut passer de minutes à millénaires.

🧐 Questions fréquentes

Quel nombre compte vraiment, force brute ou Shannon ? Pour un seuil pratique, utilisez l'entropie de force brute (bits totaux). Moins de 60 bits est fragile ; 128 et plus est classé ici comme très fort. Lisez la Shannon comme un contrôle qui repère les saisies peu diversifiées.

Ajouter un symbole aide-t-il vraiment ? Inclure n'importe quel symbole ASCII ajoute 32 au pool, ce qui augmente le terme log2 une fois. Allonger ajoute ce terme pour chaque caractère supplémentaire, donc une phrase de passe plus longue bat presque toujours un ! isolé.

Pourquoi mon temps de cassage s'affiche-t-il en siècles ? C'est une borne supérieure supposant une force brute pure. Elle ignore les attaques par dictionnaire, le bourrage d'identifiants à partir de listes fuitées et la déduction de données personnelles. Un mot de passe à haute entropie déjà présent dans une fuite est cassé immédiatement.

Comment les caractères Unicode sont-ils traités ? Tout point de code au-dessus de l'ASCII imprimable ajoute 1000 au pool en approximation. Cela élève l'entropie théorique, mais les contraintes de méthode de saisie font de la longueur le levier le plus fiable.

Mon mot de passe est-il envoyé quelque part ? Non. La détection des caractères, le calcul d'entropie et les estimations de temps s'exécutent en JavaScript dans votre navigateur. La valeur saisie n'est jamais transmise à un serveur.

📚 Le saviez-vous

Tout remonte à l'article de Claude Shannon de 1948, où l'entropie mesurait l'imprévisibilité d'un message en bits, bien avant son application aux mots de passe. Les recommandations ont depuis évolué : le NIST SP 800-63B déconseille désormais les changements périodiques obligatoires et les règles arbitraires de composition, et privilégie la longueur ainsi que la comparaison avec les listes de fuites. La raison est comportementale : imposer « une majuscule, un symbole » pousse vers des schémas prévisibles comme Motdepasse1!, qui paraissent entropiques à un indicateur mais figurent en tête de tous les dictionnaires d'attaque.