Générateur de Jetons Aléatoires
Générez des jetons aléatoires impossibles à deviner pour les sessions, les liens de réinitialisation de mot de passe, la vérification d'e-mail et les flux de récupération.
Les jetons sont générés localement avec la Web Crypto API et n'atteignent jamais nos serveurs.
Aucune valeur pour l'instant. Appuyez sur Régénérer.
Ceci est une estimation fondée sur la génération aléatoire, pas sur le fait qu'un mot de passe ayant fuité ait été réutilisé.
Généré localement dans votre navigateur. Rien n'est envoyé à nos serveurs, journalisé ni stocké.
Où sont utilisés les jetons sécurisés
De nombreux flux dépendent d'une valeur qu'un attaquant ne peut pas prédire : un identifiant de session, un lien de réinitialisation à usage unique, un code de vérification d'e-mail ou un jeton de récupération. Si l'un d'eux est devinable, les comptes sont en danger.
Générez les jetons avec un CSPRNG, rendez les plus sensibles à usage unique et limités dans le temps, et stockez-les hachés. Une durée de vie courte limite les dégâts en cas de fuite.
Bonnes pratiques
- Utilisez au moins 16 octets pour les jetons éphémères et 32 octets pour tout ce qui est sensible.
- Rendez les jetons de réinitialisation et de vérification à usage unique et à courte expiration.
- Stockez les jetons hachés sur le serveur, jamais en clair.
Plus de générateurs de secrets
Chaque générateur ci-dessous est le même outil local, propulsé par Web Crypto, préréglé pour un usage différent. Rien de ce que vous générez ne quitte votre navigateur.
- Générateur de Mots de Passe SécurisésMots de passe, secrets, jetons et PIN au même endroit.
- Générateur OpenSSL RandSecrets base64 et hex façon openssl rand.
- Générateur de Secrets JWTSecrets de signature HS256 forts pour JWT.
- Générateur de Clés d'APIClés opaques et à forte entropie pour API.
- Générateur de Phrases de PassePhrases de passe mémorables de plusieurs mots.
- Générateur de PINCodes PIN numériques rapides.
Questions fréquentes
Quelle longueur pour un jeton de session ?
Au moins 16 octets (128 bits) d'entropie, et 32 octets pour les sessions sensibles. Cet outil utilise par défaut un jeton de 32 octets en base64url.
Les jetons de réinitialisation doivent-ils expirer ?
Oui. Les jetons de réinitialisation et de vérification doivent être à usage unique et expirer vite, souvent en une heure, pour qu'un lien fuité ne soit pas rejoué.
Puis-je utiliser un UUID comme jeton ?
Un UUID v4 est aléatoire mais ne porte qu'environ 122 bits et sert à identifier, pas à authentifier. Pour des jetons de sécurité, préférez 32 octets aléatoires d'un CSPRNG.
Ces jetons sont-ils stockés quelque part ?
Pas par nous. Ils sont générés dans votre navigateur et ne sont jamais transmis. Stockez-les vous-même, hachés et avec expiration, sur votre serveur.