Quelqu’un dans l’équipe a besoin d’un nouveau mot de passe de base de données, d’un nouveau compte admin sur un hôte fraîchement provisionné, d’un nouveau secret de webhook pour une intégration tierce, ou d’une clé d’API à remettre à un fournisseur — et il en a besoin maintenant. Le mauvais réflexe est d’écraser le clavier ou de recycler un patron ; les deux produisent des identifiants à la structure prévisible qui apparaissent dans chaque attaque de dictionnaire et chaque liste de bourrage d’identifiants. Le bon réflexe est de demander les octets à un générateur de nombres aléatoires cryptographiquement sûr. Le générateur de mots de passe et de clés d’API de PortJar fait exactement ça, avec les quatre interrupteurs dont vous avez réellement besoin.
Ce que l’outil fait
Le générateur de mots de passe et de clés d’API produit des mots de passe et des clés d’API cryptographiquement aléatoires en utilisant crypto.randomInt et crypto.randomBytes de Node — les mêmes primitives CSPRNG utilisées pour les clés de session TLS, pas Math.random. Vous fixez la longueur et activez l’inclusion des majuscules, des chiffres et des symboles. La page retourne aussi trois clés d’API d’exemple à côté du mot de passe en formats conventionnels : 32 octets hex, 16 octets hex et 24 octets base64url.
L’outil s’exécute entièrement côté client. Les octets sont générés dans votre onglet de navigateur et ne transitent jamais par un serveur de PortJar. C’est la seule forme sûre pour un outil de ce genre — un générateur qui fait l’aller-retour de votre futur secret par le journal serveur de quelqu’un d’autre n’est pas un générateur, c’est une vulnérabilité.
Comment l’utiliser
Ouvrez portjar.com/tools/password-generator. Fixez la longueur (16, c’est le plancher pour tout ce qui protège de la valeur réelle ; 32, c’est un défaut raisonnable pour les comptes de service et les identifiants admin), activez majuscules, chiffres et symboles selon l’endroit où va l’identifiant, et appuyez sur Run. Les puces d’exemple chargent 16 et 32 comme longueurs de raccourci. Chaque clic de Run produit une nouvelle valeur — la précédente est perdue à moins que vous l’ayez copiée.
Si la destination a des restrictions sur les classes de caractères (pas de symboles, seulement A–Z, etc.), réglez les interrupteurs en conséquence avant de générer, plutôt que de générer puis d’éditer. Éditer réduit l’entropie de manière non évidente et c’est la source de plus de billets « ce mot de passe semble se faire forcer brutalement à répétition » que le générateur lui-même.
Quand y recourir
- Fixer un nouveau mot de passe
rootou admin de base de données pendant une rotation, quand la valeur va aller dans un gestionnaire de secrets plutôt que dans la mémoire d’une personne. Longueur 32 avec toutes les classes actives ; l’humain ne le tape jamais. - Générer un secret de signature de webhook que vous allez coller dans le tableau de bord d’un fournisseur et dans un récepteur correspondant. Utilisez une valeur hex de 32 ou 64 octets (l’échantillon de clé d’API hex 32 octets, c’est exactement ça) plutôt qu’un mot de passe — les secrets de webhook ne se tapent pas.
- Provisionner une clé d’API pour une intégration avec un fournisseur ou un partenaire qui vivra dans sa config plutôt que dans votre code. L’échantillon de 24 octets base64url est la bonne forme pour les systèmes qui passent les clés en paramètres d’URL ou en en-têtes HTTP.
- Remplacer un mot de passe de compte de service qui vient de fuiter (dans une saisie d’écran, dans un commit de code, dans un clavardage). Le premier geste, c’est générer une nouvelle valeur de la bonne longueur ; le deuxième, faire la rotation ; le troisième, vérifier comment la valeur précédente s’est échappée.
- Enrôler un compte d’opérateur où vous avez besoin d’un mot de passe temporaire fort qu’il changera à la première connexion. Longueur 16–20 avec toutes les classes actives, livré par un lien de coffre à secrets plutôt que collé directement dans le clavardage.
Quoi faire du résultat
Traitez chaque valeur que l’outil produit comme étant en service dès qu’elle apparaît dans la zone de texte. Si votre navigateur, votre système d’exploitation ou un outil d’enregistrement d’écran l’a captée à l’écran, elle n’est plus secrète pour cette surface. Générer dans un nouvel onglet de navigateur minimal est une pratique raisonnable ; générer dans un onglet en partage d’écran ne l’est pas.
La longueur de la valeur est la mesure principale de la solidité, pas les classes de caractères. Un mot de passe alphanumérique de 32 caractères est nettement plus solide qu’un de 10 caractères même quand celui de 10 a des symboles. Si un système de destination impose une longueur maximale, cette limite est le vrai plafond de la solidité de l’identifiant — les symboles et la casse mixte compensent surtout les plafonds plus courts.
Les trois échantillons de clé d’API ne sont pas redondants ; ce sont des formes conventionnelles pour trois attentes de consommateur différentes. 32 octets hex (64 caractères hex), c’est le standard de fait pour les secrets de webhook et les clés HMAC. 16 octets hex, c’est une clé plus petite pour les intégrations moins sensibles. 24 octets base64url est sûr pour URL et plus court que l’équivalent hex, ce qui compte quand la clé doit voyager dans un paramètre d’URL ou un en-tête. Choisissez le format que documente le système de destination ; ne présumez pas qu’ils sont équivalents.
Une fois générée, la valeur doit transiter par un coffre à secrets, un gestionnaire de secrets, ou un service de lien à usage unique — pas Slack, pas le courriel, pas un commentaire de billet. Même une valeur générée avec un CSPRNG fort devient un risque dès qu’elle dort dans un historique de clavardage interrogeable par vingt personnes. Le générateur est la partie facile ; la remise est la partie qui décide si l’identifiant reste un secret.
Stack Harbor utilise des valeurs générées par CSPRNG pour chaque identifiant de service, entrée de coffre et rotation gérée à l’intérieur des environnements infogérés.