Guide de sécurité

Qu'est-ce que l'API Web Crypto ?

Q: Quelle partie de Web Crypto PwdGen utilise-t-il ?

PwdGen utilise crypto.getRandomValues() pour demander des valeurs aléatoires cryptographiquement fortes au navigateur.

Découvrez comment l'API Web Crypto prend en charge la génération locale de mots de passe aléatoires dans le navigateur et en quoi elle diffère du caractère aléatoire JavaScript ordinaire.

Résumé

L’API Web Crypto est une norme de navigateur pour les opérations cryptographiques. Pour la génération de mots de passe, la fonctionnalité la plus importante est crypto.getRandomValues(), qui donne aux pages web un accès à des valeurs aléatoires cryptographiquement fortes, adaptées à la sélection de caractères de mot de passe.

Pourquoi c’est important pour les mots de passe

Les mots de passe ont besoin d’imprévisibilité. Le caractère aléatoire JavaScript ordinaire n’a pas été conçu pour les secrets. Web Crypto existe pour que les navigateurs puissent exposer des primitives cryptographiques plus sûres via une API standard. PwdGen utilise cette API pour la sélection aléatoire bornée et évite Math.random() pour la génération de mots de passe.

Limite du système d’exploitation

Web Crypto ne signifie pas qu’une page contrôle directement la source d’entropie matérielle. Les navigateurs s’appuient généralement sur le système d’exploitation et le fournisseur cryptographique de la plateforme. Une méthodologie rigoureuse doit indiquer que Web Crypto fournit une sortie CSPRNG, et non que chaque appel lit du bruit physique depuis le CPU.

Comment PwdGen l’utilise

PwdGen demande des entiers aléatoires de 32 bits, utilise un échantillonnage par rejet pour éviter le biais de modulo, mappe les valeurs acceptées aux indices de caractères et mélange les classes de caractères requises. Cela maintient l’implémentation petite et vérifiable.

Guide détaillé

Ce guide se concentre sur la compréhension de l’API Web Crypto en tant que primitive de sécurité du navigateur. Il est écrit pour les utilisateurs et les développeurs qui veulent savoir pourquoi le caractère aléatoire du navigateur est important, donc l’objectif pratique n’est pas de créer une revendication de sécurité dramatique. L’objectif est de choisir une habitude de mot de passe qui puisse survivre à une utilisation quotidienne : formulaires de connexion, gestionnaires de mots de passe, claviers mobiles, récupération de compte, appareils partagés, et le service occasionnel avec des règles de validation étranges. Une recommandation sécurisée n’est utile que si une personne réelle peut la suivre de manière cohérente.

Le point de départ le plus sûr est le caractère aléatoire plus l’unicité. Le caractère aléatoire signifie que la valeur est sélectionnée dans un grand espace par une source aléatoire cryptographiquement adaptée, et non inventée à partir d’un anniversaire, d’un nom d’animal, d’un motif de clavier ou d’une citation préférée. L’unicité signifie que le même mot de passe n’est utilisé nulle part ailleurs. Un mot de passe long mais réutilisé peut échouer rapidement après une seule fuite non liée, tandis qu’un mot de passe unique et aléatoire limite les dégâts au seul compte où il a été utilisé.

Pour ce sujet, un préréglage pratique est Chrome, Edge, Safari et Firefox modernes avec crypto.getRandomValues disponible. Vous pouvez appliquer ce préréglage avec la page de support du navigateur puis stocker la valeur finale dans un gestionnaire de mots de passe de confiance. PwdGen génère les valeurs localement dans le navigateur avec Web Crypto ; le mot de passe généré n’est pas envoyé à un serveur PwdGen. Cette conception locale réduit l’exposition côté serveur, mais elle ne protège pas contre toutes les menaces. Une extension de navigateur malveillante, un appareil compromis, une page de phishing ou une gestion non sécurisée du presse-papiers peut toujours exposer un secret après sa génération.

Les problèmes les plus courants à éviter sont les anciens navigateurs, les contextes non sécurisés, les polyfills qui utilisent silencieusement Math.random, et la confusion entre encodage et chiffrement. Ces problèmes comptent car les attaquants ont rarement besoin de forcer brutalement tous les mots de passe possibles lorsque les habitudes humaines leur donnent un raccourci. Le credential stuffing, le phishing, les listes de mots de passe divulguées et l’abus de récupération de compte sont souvent plus réalistes qu’une recherche mathématique pure. C’est pourquoi le meilleur conseil combine la qualité du mot de passe avec des contrôles au niveau du compte tels que l’authentification multifacteur (MFA), les clés d’accès (passkeys), le stockage des codes de récupération, et la vérification régulière des paramètres de l’email ou du téléphone de récupération.

Utilisez cette liste de vérification lors de l’application de la recommandation :

Utilisez un navigateur moderne.
Évitez les outils qui implémentent leur propre source aléatoire.
Comprenez que Web Crypto ne corrige pas les logiciels malveillants.
Lisez la méthodologie avant de faire confiance à un générateur.

Si un site web rejette le paramètre idéal, ne forcez pas le mot de passe dans un motif plus faible à la main. Ajustez une variable à la fois. Si les symboles sont rejetés, gardez les majuscules, minuscules et chiffres activés et augmentez la longueur. Si une longueur maximale est faible, utilisez la plus grande longueur acceptée et assurez-vous que la valeur est unique. Si un mot de passe doit être lu à voix haute, imprimé ou tapé sur un écran de télévision ou de routeur, envisagez d’exclure les caractères ambigus et d’augmenter la longueur pour compenser le plus petit alphabet.

Enfin, rappelez-vous la limite des conseils sur les mots de passe. Un mot de passe fort est une couche de défense, pas une garantie. Il ne peut pas rendre une page de phishing sûre, corriger un logiciel malveillant, ou compenser un service qui stocke mal les identifiants. L’habitude utile est ennuyeuse mais durable : générez une valeur unique, stockez-la en toute sécurité, protégez le chemin de récupération, et remplacez-la rapidement si vous suspectez une exposition.

Une prochaine étape sûre

Après avoir lu ce guide, faites un petit audit de compte au lieu d’essayer de tout réparer à la fois. Choisissez le compte qui causerait le plus de problèmes s’il était piraté, confirmez que son mot de passe est unique, et vérifiez l’email de récupération, le téléphone de récupération, la méthode MFA et le stockage des codes de secours. Si une partie de cette chaîne est faible, améliorez cette partie avant de passer aux comptes à moindre risque. Cet ordre maintient le travail gérable et protège les comptes que les attaquants sont les plus susceptibles d’utiliser comme tremplin. Pour qu’est-ce que l’API Web Crypto ?, le meilleur résultat est une habitude reproductible : générer localement, stocker soigneusement, et éviter la réutilisation.

Questions fréquemment posées

Quelle partie de Web Crypto PwdGen utilise-t-il ?

PwdGen utilise crypto.getRandomValues() pour demander des valeurs aléatoires cryptographiquement fortes au navigateur.

Web Crypto signifie-t-il que chaque octet provient directement du matériel ?

Non. Les navigateurs utilisent généralement les fournisseurs cryptographiques du système d’exploitation, ensemencés par une entropie de haute qualité ; le navigateur et le système d’exploitation choisissent l’implémentation.

Web Crypto est-il disponible dans tous les navigateurs ?

Il est disponible dans les navigateurs modernes. S’il est absent, PwdGen désactive la génération au lieu de recourir à un caractère aléatoire non sécurisé.