Guide5 min read

    Is my online password generator secure?

    Not all online generators are equal. Here are the 5 criteria to verify that a generator does not store or send your passwords.

    Un générateur de mot de passe en ligne peut être totalement sûr — ou totalement compromis. Voici les 5 critères vérifiables qui font la différence, et comment les contrôler sur n'importe quel site (y compris Convertly PASSWORD).

    Critère 1 — Génération locale (côté client)

    Un générateur sûr ne transmet jamais le mot de passe généré sur le réseau. La génération doit se faire 100 % dans votre navigateur, en JavaScript local. À vérifier :

    • Ouvrir l'onglet « Réseau » des DevTools de votre navigateur (F12).
    • Cliquer sur « Générer ».
    • Aucune requête HTTP POST ne doit apparaître. Seules les requêtes de ressources statiques (HTML, CSS, JS, fonts) sont acceptables.

    Si une requête POST part vers le serveur, fuyez.

    Critère 2 — Web Crypto API (pas Math.random)

    Math.random() en JavaScript est prédictible : un attaquant qui observe quelques sorties peut deviner les suivantes. La seule API sûre est Web Crypto via crypto.getRandomValues().

    À vérifier dans le code source :

    • Vous voyez crypto.getRandomValues ou crypto.randomUUID ⇒ sûr.
    • Vous voyez Math.random dans la génération ⇒ faille.

    Critère 3 — Code source ouvert ou auditable

    Un générateur sérieux publie son code source ou permet de l'inspecter facilement (View Source). Le code doit être minimalement obfusqué — sinon, il y a quelque chose à cacher.

    Sur Convertly PASSWORD, le code de génération est lisible directement dans le bundle Next.js et utilise les API natives du navigateur — aucune librairie tierce non auditée.

    Tester le générateur de mot de passe fort

    Critère 4 — HTTPS et en-têtes de sécurité

    Le site doit servir le générateur en HTTPS strict (HTTP redirige vers HTTPS). Les en-têtes attendus :

    • Content-Security-Policy stricte (limite les scripts à l'origine).
    • Strict-Transport-Security (HSTS).
    • X-Content-Type-Options: nosniff.
    • Referrer-Policy: strict-origin-when-cross-origin ou plus strict.

    Sur Convertly, ces en-têtes sont configurés dans next.config.ts. Vous pouvez les vérifier sur securityheaders.com.

    Critère 5 — Pas de tracking ni d'historique côté serveur

    • Le générateur ne doit pas afficher de bandeau « historique de vos mots de passe » (révèle qu'il est stocké).
    • Pas de connexion utilisateur requise.
    • Politique de confidentialité explicite qui exclut le stockage du mot de passe.
    • Analytics raisonnables (Plausible, Matomo self-hosted) plutôt que Google Analytics qui peut leaker des données.

    Cas particulier : générateurs intégrés à un gestionnaire

    Bitwarden, 1Password, KeePassXC intègrent un générateur dans leur app. C'est la solution la plus sûre car :

    • Tout se passe localement.
    • Le mot de passe est immédiatement stocké chiffré.
    • Pas de copier-coller exposé dans le presse-papiers.

    Un générateur web reste utile pour : un mot de passe à usage unique, un visiteur qui n'a pas (encore) de gestionnaire, un test rapide.

    Convertly PASSWORD : ce qu'on fait et ce qu'on ne fait pas

    PratiqueÉtat Convertly
    Génération 100 % locale
    Web Crypto API (crypto.getRandomValues)
    Aucune transmission serveur
    HTTPS + HSTS + CSP
    Sans inscription, sans compte
    Sans historique persistant
    Code source vérifiable
    Hébergement Europe (Vercel)
    Conformité RGPD

    Pour aller plus loin

    Trình tạo mật khẩu trực tuyến của tôi có an toàn không? — Convertly PASSWORD