Passwort-Tool

Land, Region und Sprache wählen

Ein Sprachwechsel ändert oder erneuert Ihre Passwörter nicht.

Amerika

Europa, Naher Osten und Afrika

Asien und Pazifik

Regional & Weltweit

60 Länder-, Regions- und weltweite Versionen · Suchen Sie nach lokalen und englischen Namen RTL: Englisch / Englisch · Passwörter bleiben LTR

JWT-Secret-Generator

Generieren Sie ein 64-stelliges URL-sicheres JWT-Signing-Secret lokal und erfahren Sie, wie HMAC-Schlüssellänge, Umgebungsvariablen, Secret-Manager und Schlüsselrotation die Sicherheit der Bereitstellung beeinflussen.

Lokal erstellt · nie hochgeladen oder gespeichert

Erstellte Passwörter

Standard 10 Zeichen · 10 Passwörter · Großbuchstaben + Kleinbuchstaben + Zahlen

Transparente lokale Analyse

Zufälligkeit und Zeichenverteilung

Dieses Diagramm fasst die aktuelle generierte Charge zusammen, ohne den Passworttext preiszugeben. Eine kleine Stichprobe kann die Qualität des Zufallszahlengenerators nicht beweisen.

Zufälligkeit und Zeichenverteilung
Stichprobengröße0
Theoretische Entropie-Obergrenze
Großbuchstaben0
Kleinbuchstaben0
Zahlen0
Symbole0
Wiederholte Passphrasen-Wörter0

Die Obergrenze setzt voraus, dass das ausgewählte Generatormodell gleichmäßig ist. Sie ist keine Garantie für ein wiederverwendetes, vom Menschen gewähltes oder offengelegtes Passwort.

Lokaler Sicherheitsarbeitsbereich

Sitzungsbezogene Generierungshistorie und Export

Dieses Panel speichert nur Batch-Metadaten im Sitzungsspeicher. Passworttext bleibt im Arbeitsspeicher und wird nur exportiert, wenn Sie dies explizit wählen.

Warnung: Exportierte Dateien können sensible Passwörter enthalten. Speichern Sie sie nur an einem vertrauenswürdigen Ort.

Letzte lokale Batches

Letzte lokale Batches
ZeitModusAnzahlLängeEntropie

Generieren Sie einen Passwort-Batch, um lokale Metadaten anzuzeigen.

Lokale Sicherheitskontrolle

Zeitschätzer für das Knacken von Passwörtern

Sehen Sie, wie sich gebräuchliche Wörter, Muster und Länge auf die geschätzte Angriffszeit auswirken.

Nur in diesem Browser ausgewertet. Nie hochgeladen, protokolliert oder gespeichert.

Geschätzte Zeit · Offline-Schnell-Hash (10 Milliarden Schätzungen/Sekunde)

Geben Sie zur Schätzung ein Passwort ein

Vergleichen Sie vier Angriffsszenarien
Online, Tarif begrenzt (100/Stunde)
Online, keine Ratenbegrenzung (10/Sekunde)
Offline, langsamer Hash (10.000/Sekunde)
Offline, schneller Hash (10 Milliarden/Sekunde)

Nur Schätzung – keine Garantie. Die tatsächliche Zeit hängt von der Passwortspeicherung, den Hashing-Kosten, der Angreifer-Hardware und davon ab, ob das Passwort wiederverwendet oder offengelegt wird.

Über diesen Generator

Diese Voreinstellung erstellt einen URL-sicheren High-Entropy-Wert für HMAC JWT-Signing. Es handelt sich um ein Entwickler-Secret, nicht um ein Benutzerpasswort, und es verlässt niemals diesen Browser.

Dieses Voreinstellung startet im Modus url-safe und generiert 10 unabhängige Ergebnisse auf einmal. Alle sichtbaren Einstellungen bleiben anpassbar, und generierte Werte werden nicht an PwdGen gesendet.

Wann verwenden

  • Erstellen einer neuen Anmeldeinformation für diesen spezifischen Anwendungsfall
  • Ersetzen eines wiederverwendeten oder schwachen Passworts
  • Generieren von Werten lokal vor der sicheren Speicherung

Alphabetgröße, Entropie und Brute-Force-Annahmen

Die theoretische Entropie-Obergrenze wird berechnet als H = L × log2(A), wobei L die generierte Länge und A die Anzahl der aktuell erlaubten Zeichen ist.

LängeAlphabetSuchraumEntropie-ObergrenzeDurchschnitt bei 10 Milliarden Versuchen/s
64646464384.0 Bits6.24e97 years

Wichtig: Dies sind mathematische Schätzungen für gleichmäßig zufällige Werte. Erforderliche Positionen, eingeschränkte Anzahlen, wiederholte Passwörter, Wörterbuchmuster, durchgesickerte Anmeldedaten und tatsächliche Passwort-Hashing-Kosten können das Ergebnis erheblich verändern. Die Zahl ist keine Sicherheitsgarantie.

Bereitstellungsleitfaden für JWT-Signierschlüssel

Verwenden Sie für HS256 mindestens 256 Bit gleichmäßig zufälliges Schlüsselmaterial. HS384 und HS512 verwenden unterschiedliche SHA-2-Ausgabegrößen, aber die Wahl eines längeren Algorithmus behebt keine schwache Verifikation, durchgesickerte Schlüssel oder Algorithmenverwechslungsfehler.

Äquivalente Terminal- und Node.js-Generierung

openssl rand -hex 32
import { randomBytes } from 'node:crypto';

const jwtSecret = randomBytes(32).toString('hex');

Speicherung und Rotation

  • Halten Sie Signierschlüssel aus Git, Frontend-Bundles, URLs, Analysen und Anwendungsprotokollen fern.
  • Verwenden Sie einen Secret Manager, Vault, KMS oder eine geschützte Umgebungsvariable.
  • Verwenden Sie eine kontrollierte kid-Strategie beim Rotieren von Schlüsseln.
  • Wählen Sie RS256 oder ES256, wenn Verifizierer nur einen öffentlichen Schlüssel halten sollen.

Hex, Base64 und Base64URL sind Kodierungen – keine Verschlüsselung. Die Sicherheit ergibt sich aus den zufälligen Bytes und dem Schutz des Signierschlüssels.

So verwenden Sie das Ergebnis sicher

  1. Überprüfen Sie die aktuellen Passwortregeln des Zielsystems
  2. Verwenden Sie ein eindeutiges Ergebnis und aktivieren Sie MFA, wo verfügbar
  3. Speichern Sie Wiederherstellungscodes getrennt vom Passwort
Wichtige Einschränkung: Ein generierter Wert kann keine Algorithmus-Verwirrung, clientseitige Schlüsseloffenlegung, schwache Verifizierung oder unsichere Secret-Verteilung beheben. Bevorzugen Sie verwaltete Schlüssel und asymmetrisches Signieren, wenn die Architektur dies erfordert.

Generierungs- und Datenschutzmethode

Die Voreinstellung verwendet den Browser Web Crypto API für die zufällige Auswahl. Das Regenerieren, Ändern von Einstellungen, Auswählen und Kopieren von Ergebnissen sendet keine generierten Anmeldedaten an PwdGen. Der Passwort-Crack-Zeitschätzer läuft ebenfalls lokal und ist eine Schätzung, keine Garantie.

JWT-Secret-Generator FAQ

Wie lang sollte ein HS256 JWT-Secret sein?

Verwenden Sie mindestens 256 Bit gleichmäßig zufälliges Schlüsselmaterial für HS256. Diese Seite generiert einen 64-stelligen Wert mit Base64URL-Alphabet, der bei gleichmäßiger Generierung einen größeren theoretischen Suchraum bietet.

Sollte ein JWT-Secret in einer Umgebungsvariable gespeichert werden?

Eine Umgebungsvariable ist sicherer als Quellcode, kann aber dennoch durch Prozessinspektion, Protokolle oder Bereitstellungswerkzeuge preisgegeben werden. Ein verwalteter Secret-Store oder KMS ist für Produktionssysteme vorzuziehen.

Wann sollte ich RS256 oder ES256 anstelle von HMAC verwenden?

Verwenden Sie asymmetrisches Signieren, wenn Verifizierer den privaten Signaturschlüssel nicht besitzen sollen oder wenn mehrere Dienste eine Verifizierung mit öffentlichem Schlüssel benötigen. Schützen Sie den privaten Schlüssel und rotieren Sie Schlüssel mit einer kontrollierten Schlüsselidentifikationsstrategie.