Tout reste dans votre navigateur. Aucun mot de passe n'est transmis. Le calcul est entièrement local. La seule requête externe est une vérification anonyme de fuite (5 premiers caractères du hash SHA-1, jamais le mot de passe).

Questions fréquentes

Comprendre le fonctionnement technique →

Comment mesurer la résistance de mon mot de passe ?

Time2Crack est un estimateur gratuit de résistance de mots de passe qui mesure la robustesse de votre mot de passe contre les attaques informatiques réelles. Voici comment :

Processus d'évaluation en 3 étapes

  1. Saisissez votre mot de passe dans le champ de l'outil Time2Crack. (Votre mot de passe reste entièrement sur votre ordinateur — aucune transmission)
  2. Cliquez sur « Analyser » pour déclencher l'analyse de résistance. L'outil teste votre mot de passe contre 7 types d'attaques informatiques réalistes : attaque par force brute, dictionnaire, hybride, masque, Markov probabiliste, PCFG grammatical, et combinateur de mots.
  3. Lisez les résultats : L'outil affiche le temps estimé pour craquer votre mot de passe avec chacun des 6 algorithmes de hash (MD5, SHA-1, SHA-256, NTLM, bcrypt, Argon2id).

Interpréter les résultats

Time2Crack affiche deux mesures principales :

  • « Temps de crack » : Combien de temps il faudrait à un attaquant moyen (12 GPU modernes) pour craquer votre mot de passe.
    • Excellent : > 100 ans
    • Très bon : 1 an – 100 ans
    • ⚠️ Acceptable : 1 jour – 1 an
    • Faible : < 1 jour
    • 🚨 Ultra-faible : < 1 seconde
  • « Attaque la plus rapide » : Quel type d'attaque craquera votre mot de passe en premier. Par exemple, un mot de passe dictionnaire simple sera cracké par une attaque dictionnaire, tandis qu'une passphrase (4+ mots) sera cracké par attaque combinateur.

Pourquoi cette mesure est scientifique

Time2Crack ne mesure pas l'entropie théorique (approche traditionnelle NIST), qui surestime les mots de passe en ignorant les patterns humains. À la place, il estime le coût d'attaque pratique basé sur :

  • Recherche académique (Wheeler 2016, Wang & Ding 2023, Weir 2009) validant 7 attaques réelles
  • Données empiriques rockyou2021 (32.6M mots de passe réels) pour calibrer les modèles probabilistes
  • Benchmarks GPU officiels (Hashcat v6.2.6, Hive Systems 2025) pour les vitesses de craquage

Cela signifie que Time2Crack estime plus fidèlement la sécurité réelle qu'une barre de force visuelle traditionnelle.

Étapes pour améliorer votre score

Si votre mot de passe est noté faible, améliorez-le ainsi :

  1. Augmentez la longueur : Passez de 8 à 12+ caractères. Chaque caractère supplémentaire multiplie la difficulté par ~70 (nombre moyen de caractères).
  2. Utilisez une passphrase (recommandé) : 4-5 mots aléatoires séparés par des tirets ou espaces. Exemple : correct-horse-battery-staple Ceci est plus sûr ET plus mémorisable qu'un mot complexe.
  3. Évitez les patterns humains : Ne combinez pas « Nom + année » (ex: Jean1985). Time2Crack détecte ces patterns et les craque en secondes via attaque PCFG.
  4. Utilisez un gestionnaire de mots de passe : Laissez un gestionnaire générer une chaîne aléatoire de 16-32 caractères. Time2Crack l'estimera à > 10,000 ans, garantissant une sécurité maximale.

💡 Conseil clé : Ne cherchez pas une barre de force visuelle parfaite. Cherchez un temps de crack > 100 ans pour un mot de passe critique (email, banque). Une passphrase de 4 mots y parvient facilement, tandis qu'un mot de 12 caractères aléatoires peut y échouer selon la composition.

Qu'est-ce que Time2Crack ?
Time2Crack est un calculateur de temps de craquage de mots de passe. Il estime combien de temps il faudrait à un attaquant pour deviner votre mot de passe en utilisant 7 attaques différentes (force brute, dictionnaire, hybride, masque, Markov, PCFG, combinateur). L'outil calcule entièrement sur votre ordinateur — votre mot de passe ne quitte jamais votre appareil.
Mes données sont-elles sécurisées ?

Oui. Time2Crack fonctionne 100% localement dans votre navigateur. Aucun mot de passe n'est envoyé à nos serveurs. Nous ne faisons qu'une seule vérification optionnelle : vérifier via Have I Been Pwned (HIBP) si votre mot de passe est connu dans les fuites anciennes. Cette vérification utilise la k-anonymité (nous ne envoyons que les 5 premiers caractères du hash SHA-1, jamais le mot de passe complet).

Exemple concret : comment fonctionne la k-anonymité

Pour le mot de passe password :

  • Hash SHA-1 complet (local, jamais transmis) : 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8
  • Préfixe envoyé à HIBP : 5BAA6 ✅ (seulement 5 caractères)
  • Suffix conservé localement (jamais transmis) : 1E4C9B93F3F0682250B6CF8331B7EE68FD8
  • HIBP retourne tous les hashes commençant par 5BAA6 (~500-1000 résultats anonymes)
  • Time2Crack compare localement le suffix avec les réponses, uniquement sur votre ordinateur

Résultat : Le mot de passe complet ne quitte jamais votre appareil, même lors de la vérification HIBP. 🔒

Pourquoi les estimations de temps varient-elles selon l'algorithme de hash ?
Différents algorithmes de hash ont des vitesses de craquage très différentes. MD5 et SHA-1 (unsalted) sont rapides à cracker (~2 milliards de tentatives/seconde), tandis que bcrypt et Argon2id sont volontairement lents (~2 millions et ~800 tentatives/seconde). Time2Crack affiche le temps pour chaque algorithme, afin que vous compreniez l'importance d'utiliser bcrypt ou Argon2id pour les mots de passe critiques.
Qu'est-ce que "Force brute", "Dictionnaire", etc. ?
Ce sont les 7 types d'attaques réelles que les pirates utilisent :
  • Force brute : tester chaque combinaison possible (lent pour les longs mots de passe)
  • Dictionnaire : tester les mots courants et les fuites connues (rapide pour les mots simples)
  • Hybride : dictionnaire + mutations mineures (ex: password → p@ssw0rd)
  • Masque : cibler les structures prévisibles (ex: Nom + année)
  • Markov : analyser les probabilités de séquences (ex: "qu" courant en français)
  • PCFG : structures grammaticales (ex: Majuscule+minuscules+chiffres)
  • Combinateur : concaténer des mots (ex: "correct-horse-battery-staple")
Qu'est-ce que "Favorable" vs "Standard" ?
Standard : estime optimiste en supposant que l'attaquant utilise la meilleure attaque connue. Favorable : suppose que l'attaquant teste uniquement le dictionnaire et les mutations simples (scenario le plus favorable pour votre mot de passe). En pratique, ces deux estimations sont souvent similaires, car les meilleurs attaquants testent toutes les méthodes en parallèle.
Mon mot de passe est marqué "Ultra-faible". Que faire ?
Un mot de passe ultra-faible (craché en moins d'une seconde) signifie qu'il figure dans les listes des mots de passe les plus courants. Changez-le immédiatement. Utilisez plutôt :
  • Une passphrase (4+ mots aléatoires séparés par des espaces, ex: "correct-horse-battery-staple")
  • Un mot de passe généré aléatoirement (au moins 12 caractères mixtes)
  • Un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass, etc.)
Comment créer un mot de passe sûr ?
Les trois approches :
  1. Passphrase (recommandé) : 4-5 mots aléatoires courants (ex: "soleil-table-ordinateur-fleur"). Facile à mémoriser, très sûr (~10,000+ ans si chiffres ajoutés).
  2. Aléatoire : 16+ caractères (majuscules, minuscules, chiffres, symboles). Craquer prend 10,000+ ans. Utilisez un gestionnaire pour le stocker.
  3. Passphrase + mutation : "Soleil2024!" (passphrase + année + symbole). Combine sécurité et mémorabilité.
Pourquoi un mot de passe court avec des symboles n'est pas assez ?
Exemple : "P@ssw0rd!" (10 caractères) peut être cracké en quelques jours avec bcrypt. Même avec symboles, un mot court reste vulnérable car il suit un pattern prévisible (majuscule + minuscules + chiffres + symbole). L'attaque PCFG teste exactement ce pattern. Une passphrase de 4 mots est plus sûre qu'un mot court "complexe".
Et si j'utilise un gestionnaire de mots de passe ?
Excellent choix ! Les gestionnaires (Bitwarden, 1Password, KeePass) génèrent des mots de passe aléatoires de 16-32 caractères, que vous n'avez pas besoin de mémoriser. Time2Crack estimera le temps de craquage à 10,000+ années pour un mot généré aléatoirement. Vous n'avez besoin que d'une passphrase solide pour déverrouiller le gestionnaire.
Mes estimations peuvent-elles être inexactes ?
Time2Crack utilise les meilleures données publiques disponibles (rockyou2021, NIST, recherche académique) pour calibrer ses estimations. L'erreur typique est ±1 ordre de grandeur (soit 10× plus rapide/lent que la réalité). Les estimations supposent aussi un attaquant avec 12× RTX 4090 — un attaquant réel peut être 100× plus lent ou 10,000× plus rapide selon ses ressources. Les estimations pour Argon2id sont plus fiables (plus lentes, moins de variation).
Pourquoi Time2Crack montre 7 attaques différentes ?
Parce que chaque mot de passe est vulnérable à une attaque différente. "password" tombe en 1 tentative (dictionnaire). "P@ssw0rd!" tombe en ~10,000 tentatives (hybride + PCFG). "a1b2c3d4e5f6g7h8" tombe seulement en force brute (~10^30 tentatives). Time2Crack identifie la meilleure attaque pour votre mot de passe et affiche le temps pour chaque algorithme de hash.
La page "Méthode" explique comment ça marche ?
Oui ! La page Méthode (accessible via le menu) détaille :
  • Comment chaque attaque fonctionne (avec exemples)
  • Les sources de données utilisées (rockyou, NIST, Hive Systems)
  • Les limitations et hypothèses
  • Les recherches académiques qui valident nos estimations
Puis-je utiliser Time2Crack hors ligne ?
Oui ! Time2Crack fonctionne entièrement hors ligne une fois chargé. Les données du dictionnaire et les modèles ML (Markov, PCFG) sont téléchargés une seule fois au démarrage. Vous pouvez ensuite fermer Internet — Time2Crack continue de fonctionner normalement.
En combien de temps un mot de passe "bon" peut-il être cracké ?
Avec une estimation conservatrice :
  • 8 caractères aléatoires : ~8 heures (MD5) / ~3 ans (bcrypt)
  • 12 caractères aléatoires : ~2,000 ans (MD5) / ~1 million d'années (bcrypt)
  • 16 caractères aléatoires : ~2 millions d'années (bcrypt)
  • Passphrase 4 mots + symbole : ~10,000+ années (bcrypt)
Utilisez bcrypt ou Argon2id pour tous les mots de passe critiques.
Time2Crack est-il open source ?
Oui ! Le code source est disponible sur Codeberg. Time2Crack n'a zéro dépendance — c'est du JavaScript pur, pas de bundlers ni de transpilation. Vous pouvez vérifier le code vous-même pour confirmer qu'aucun mot de passe n'est transmis.