JWT-salaisuusgeneraattori

Luo 64-merkin URL-turvallinen JWT-allekirjoitussalaisuus paikallisesti ja opi, miten HMAC-avaimen pituus, ympäristömuuttujat, salaisuuksien hallinta ja avaimen vaihto vaikuttavat käyttöönoton turvallisuuteen.

Luotu paikallisesti · ei koskaan lähetetty tai tallennettu

Luodut salasanat

Oletusarvot 10 merkkiä · 10 salasanaa · isot + pienet kirjaimet + numerot

Läpinäkyvä paikallinen analyysi

Satunnaisuus ja merkkijakauma

Tämä kaavio tiivistää nykyisen luodun erän paljastamatta sen salasanatekstiä. Pieni otos ei voi todistaa satunnaislukujen laatua.

Satunnaisuus ja merkkijakauma
Otoskoko	0
Teoreettinen entropiakatto	—
Isot kirjaimet	0
Pienet kirjaimet	0
Numerot	0
Symbolit	0
Toistuvat salasanalauseen sanat	0

Katto olettaa, että valittu generaattorimalli on tasainen. Se ei ole takuu uudelleenkäytetylle, ihmisen valitsemalle tai paljastuneelle salasanalle.

Paikallinen turvallisuustyötila

Vain istunnon aikainen luontihistoria ja vienti

Tämä paneeli tallentaa vain erämetatiedot istuntomuistiin. Salasanateksti pysyy muistissa ja viedään vain, jos valitset sen nimenomaisesti.

Varoitus: viedyt tiedostot voivat sisältää arkaluonteisia salasanoja. Tallenna ne vain luotettuun paikkaan.

Viimeisimmät paikalliset erät

Viimeisimmät paikalliset erät
Aika	Tila	Määrä	Pituus	Entropia

Luo salasanaerä nähdäksesi paikalliset metatiedot täällä.

Paikallinen turvatarkastus

Salasanan murtumisajan estimaattori

Katso, kuinka yleiset sanat, kuviot ja pituus vaikuttavat arvioituun hyökkäysaikaan.

Salasana arvioitavaksi

Arvioitu vain tässä selaimessa. Ei koskaan ladattu, kirjattu tai tallennettu.

Arvioitu aika · offline-pika hash (10 miljardia arvausta sekunnissa)

Anna salasana arvioidaksesi

Vertaa neljää hyökkäysskenaariota

Online, hinta rajoitettu (100/tunti): —
Online, ei nopeusrajoitusta (10/sekunti): —
Offline, hidas hash (10 000/sekunti): —
Offline, nopea hash (10 miljardia sekunnissa): —

Vain arvio - ei takuu. Todellinen aika riippuu salasanan tallentamisesta, hajautuskustannuksista, hyökkääjän laitteistosta ja siitä, käytetäänkö salasanaa uudelleen vai paljastetaanko se.

Tietoja tästä generaattorista

Tämä esiasetus luo URL-turvallisen korkeaentropia-arvon HMAC JWT-allekirjoitukseen. Se on kehittäjän salaisuus, ei käyttäjän salasana, eikä se koskaan poistu tästä selaimesta.

Tämä esiasetus alkaa url-safe-tilassa ja luo kerralla 10 riippumatonta tulosta. Kaikki näkyvät asetukset ovat säädettävissä, eikä luotuja arvoja lähetetä PwdGen:ään.

Milloin käyttää

Uuden tunnistetiedon luominen tähän käyttötarkoitukseen
Uudelleenkäytetyn tai heikon salasanan korvaaminen
Arvojen luominen paikallisesti ennen turvallista tallennusta

Aakkoston koko, entropia ja raa'an voiman hyökkäysoletukset

Teoreettinen entropiakatto lasketaan kaavalla H = L × log2(A), jossa L on luotu pituus ja A on tällä hetkellä sallittujen merkkien määrä.

Pituus	Aakkosto	Hakutila	Entropiakatto	Keskimäärin 10 miljardilla arvauksella/s
64	64	64⁶⁴	384.0 bittiä	6.24e97 years

Tärkeää: nämä ovat matemaattisia arvioita tasaisesti satunnaisille arvoille. Pakolliset sijainnit, rajoitetut määrät, toistuvat salasanat, sanakirjakuviot, vuotaneet tunnukset ja todelliset salasanan tiivistyskustannukset voivat muuttaa tulosta merkittävästi. Luku ei ole turvallisuustae.

JWT-allekirjoitussalaisuuden käyttöönotto-ohjeet

HS256:ää varten käytä vähintään 256 bittiä tasaisesti satunnaista avainmateriaalia. HS384 ja HS512 käyttävät eri SHA-2-tulostuskokoja, mutta pidemmän algoritmin valinta ei korjaa heikkoa vahvistusta, vuotaneita avaimia tai algoritmisekaannusvirheitä.

Vastaava terminaali- ja Node.js-luonti

openssl rand -hex 32

import { randomBytes } from 'node:crypto';

const jwtSecret = randomBytes(32).toString('hex');

Tallennus ja rotaatio

Pidä allekirjoitusavaimet poissa Gitistä, frontend-paketeista, URL-osoitteista, analytiikasta ja sovelluslokeista.
Käytä salaisuuksien hallintaa, Vaultia, KMS:ää tai suojattua ympäristömuuttujaa.
Käytä hallittua kid-strategiaa avaimia kierrätettäessä.
Valitse RS256 tai ES256, kun varmistajien tulisi pitää hallussaan vain julkista avainta.

Heksa, Base64 ja Base64URL ovat koodauksia – eivät salausta. Turvallisuus tulee satunnaisista tavuista ja siitä, miten allekirjoitusavainta suojataan.

Tuloksen turvallinen käyttö

Tarkista kohteen nykyiset salasanasäännöt
Käytä yksilöllistä tulosta ja ota MFA käyttöön, jos mahdollista
Säilytä palautuskoodit erillään salasanasta

Tärkeä rajoitus: Luotu arvo ei voi korjata algoritmisekaannusta, asiakaspuolen avainten altistumista, heikkoa vahvistusta tai epäturvallista salaisuuksien jakelua. Suosi hallittuja avaimia ja epäsymmetristä allekirjoitusta, kun arkkitehtuuri sitä vaatii.

Luonti- ja yksityisyysmenetelmä

Esiasetus käyttää selaimen Web Crypto API:ää satunnaisvalintaan. Tulosten uudelleenluonti, asetusten muuttaminen, valinta ja kopiointi eivät lähetä luotuja tunnuksia PwdGen:ään. Salasanan murtamisajan arvioija toimii myös paikallisesti ja on arvio, ei takuu.

JWT-salaisuusgeneraattori FAQ

Kuinka pitkä HS256 JWT-salaisuuden tulisi olla?

Käytä vähintään 256 bittiä tasaisesti satunnaista avainmateriaalia HS256. Tämä sivu luo 64-merkin Base64URL-aakkoston arvon, joka tarjoaa suuremman teoreettisen hakutilan, kun se luodaan tasaisesti.

Pitäisikö JWT-salaisuus tallentaa ympäristömuuttujaan?

Ympäristömuuttuja on turvallisempi kuin lähdekoodi, mutta se voi silti vuotaa prosessitarkkailun, lokien tai käyttöönottotyökalujen kautta. Hallittu salaisuuksien säilytys tai KMS on suositeltavampi tuotantojärjestelmissä.

Milloin minun tulisi käyttää RS256 tai ES256 HMAC sijaan?

Käytä epäsymmetristä allekirjoitusta, kun vahvistajilla ei tulisi olla yksityistä allekirjoitusavainta tai kun useat palvelut tarvitsevat julkisen avaimen vahvistusta. Suojaa yksityinen avain ja vaihda avaimia hallitulla avaintunnistestrategialla.

Valitse maa, alue ja kieli

Amerikat

Eurooppa, Lähi-itä ja Afrikka

Aasia ja Tyynenmeren alue

Alueellinen ja maailmanlaajuinen