Kasangkapan sa password

Pumili ng bansa, rehiyon, at wika na hindi papalitan ang pamagat ng data-

Ang pagpapalit ng wika ay hindi magbabago o makakabuo ng iyong kasalukuyang mga password.

Amerika

Europe, Gitnang Silangan at Africa

Asya at Pasipiko

Rehiyon at Buong Mundo

60 bansa, rehiyon at pandaigdigang bersyon · Maghanap ng mga lokal at Ingles na pangalan RTL: עברית / العربية · nananatiling LTR ang mga password

Tagabuo ng Sikreto para sa JWT

Bumuo ng 64-character URL-safe JWT signing secret nang lokal at alamin kung paano nakakaapekto ang HMAC key length, environment variables, secret managers, at key rotation sa seguridad ng deployment.

Lokal na nabuo · hindi kailanman na-upload o na-save

Mga nabuong password

Default na 10 character · 10 password · uppercase + lowercase + number

Transparent na lokal na pagsusuri

Randomness at distribusyon ng karakter

Ipinapakita ng chart na ito ang kasalukuyang nabuong batch nang hindi inilalantad ang teksto ng password nito. Ang maliit na sample ay hindi makapagpapatunay ng kalidad ng random-number.

Randomness at distribusyon ng karakter
Laki ng sample0
Teoretikal na ceiling ng entropy
Malaking titik0
Maliit na titik0
Mga numero0
Mga simbolo0
Mga inulit na salita ng passphrase0

Ipinapalagay ng ceiling na ang napiling modelo ng generator ay uniform. Hindi ito garantiya para sa isang muling ginamit, pinili ng tao, o nalantad na password.

Lokal na workspace ng seguridad

Kasaysayan ng pagbuo at pag-export na session-only

Ang panel na ito ay nag-iimbak lamang ng batch metadata sa session storage. Ang teksto ng password ay nananatili sa memorya at ie-export lamang kung tahasan mong pipiliin ito.

Babala: ang mga na-export na file ay maaaring maglaman ng sensitibong mga password. I-save lamang ang mga ito sa isang pinagkakatiwalaang lokasyon.

Mga kamakailang lokal na batch

Mga kamakailang lokal na batch
OrasModeBilangHabaEntropy

Gumawa ng password batch upang makita ang lokal na metadata dito.

Lokal na pagsusuri sa seguridad

Tagatantya ng oras ng pag-crack ng password

Tingnan kung paano nakakaapekto ang mga karaniwang salita, pattern, at haba sa tinantyang oras ng pag-atake.

Sinusuri lamang sa browser na ito. Hindi kailanman na-upload, naka-log, o na-save.

Tinantyang oras · offline na mabilis na hash (10 bilyong hula/segundo)

Maglagay ng password upang tantyahin

Paghambingin ang apat na senaryo ng pag-atake
Online, limitado ang rate (100/oras)
Online, walang limitasyon sa rate (10/segundo)
Offline, mabagal na hash (10,000/segundo)
Offline, mabilis na hash (10 bilyon/segundo)

Tantyahin lamang—hindi isang garantiya. Ang aktwal na oras ay nakasalalay sa pag-imbak ng password, gastos sa pag-hash, hardware ng attacker, at kung ang password ay muling ginagamit o nakalantad.

Tungkol sa generator na ito

Ang preset na ito ay lumilikha ng URL-safe high-entropy value para sa HMAC JWT signing. Ito ay isang developer secret, hindi isang user password, at hindi ito umaalis sa browser na ito.

Ang preset na ito ay nagsisimula sa url-safe mode at bumubuo ng 10 independiyenteng resulta sa bawat pagkakataon. Ang bawat nakikitang setting ay nananatiling adjustable, at ang mga nabuong halaga ay hindi ipinapadala sa PwdGen.

Kailan ito gagamitin

  • Paglikha ng bagong kredensyal para sa partikular na kaso ng paggamit na ito
  • Pagpapalit ng muling ginamit o mahinang password
  • Pagbuo ng mga halaga nang lokal bago ang secure na pag-iimbak

Laki ng alpabeto, entropy, at mga palagay sa brute-force

Ang pinakamataas na entropy ay kinakalkula bilang H = L × log2(A), kung saan ang L ay ang nabuong haba at ang A ay ang bilang ng kasalukuyang pinapayagang mga character.

HabaAlpabetoSearch spacePinakamataas na entropyAverage sa 10 bilyong guesses/s
64646464384.0 bits6.24e97 years

Mahalaga: ang mga ito ay mathematical estimates para sa uniformly random na mga halaga. Ang mga kinakailangang posisyon, pinaghihigpitang bilang, paulit-ulit na password, pattern ng diksyunaryo, leaked credentials, at tunay na password-hashing costs ay maaaring magbago nang malaki sa resulta. Ang figure ay hindi isang garantiya ng seguridad.

Gabay sa pag-deploy ng JWT signing-secret

Para sa HS256, gumamit ng hindi bababa sa 256 bits ng uniformly random key material. Ang HS384 at HS512 ay gumagamit ng iba't ibang laki ng output ng SHA-2, ngunit ang pagpili ng mas mahabang algorithm ay hindi nag-aayos ng mahinang verification, leaked keys, o algorithm-confusion bugs.

Katumbas na terminal at Node.js generation

openssl rand -hex 32
import { randomBytes } from 'node:crypto';

const jwtSecret = randomBytes(32).toString('hex');

Storage at rotation

  • Panatilihin ang signing keys sa labas ng Git, frontend bundles, URLs, analytics, at application logs.
  • Gumamit ng secret manager, Vault, KMS, o protected environment variable.
  • Gumamit ng controlled kid strategy kapag nagro-rotate ng keys.
  • Pumili ng RS256 o ES256 kapag ang mga verifier ay dapat magkaroon lamang ng public key.

Ang Hex, Base64, at Base64URL ay mga encoding—hindi encryption. Ang seguridad ay nagmumula sa random bytes at kung paano pinoprotektahan ang signing key.

Paano gamitin ang resulta nang ligtas

  1. Suriin ang kasalukuyang mga patakaran ng password ng patutunguhan
  2. Gumamit ng natatanging resulta at paganahin ang MFA kung available
  3. Itago ang mga recovery code nang hiwalay sa password
Mahalagang limitasyon: Ang isang nabuong halaga ay hindi maaaring ayusin ang algorithm confusion, client-side key exposure, weak verification, o unsafe secret distribution. Mas gusto ang managed keys at asymmetric signing kapag kinakailangan ng arkitektura.

Paraan ng pagbuo at privacy

Ang preset ay gumagamit ng browser Web Crypto API para sa random selection. Ang pag-re-regenerate, pagbabago ng settings, pagpili, at pagkopya ng mga resulta ay hindi nagpapadala ng nabuong credentials sa PwdGen. Ang password crack-time estimator ay tumatakbo rin nang lokal at ito ay isang estimate, hindi isang garantiya.

Tagabuo ng Sikreto para sa JWT FAQ

Gaano katagal dapat ang isang HS256 JWT secret?

Gumamit ng hindi bababa sa 256 bits ng uniformly random key material para sa HS256. Ang pahinang ito ay bumubuo ng 64-character Base64URL-alphabet value, na nagbibigay ng mas malaking theoretical search space kapag nabuo nang uniformly.

Dapat bang itago ang isang JWT secret sa isang environment variable?

Ang isang environment variable ay mas ligtas kaysa sa source code ngunit maaari pa ring tumagas sa pamamagitan ng process inspection, logs, o deployment tooling. Ang isang managed secret store o KMS ay mas mainam para sa production systems.

Kailan ko dapat gamitin ang RS256 o ES256 sa halip na HMAC?

Gamitin ang asymmetric signing kapag ang mga verifier ay hindi dapat magkaroon ng private signing key o kapag ang maraming serbisyo ay nangangailangan ng public-key verification. Protektahan ang private key at i-rotate ang mga key na may kontroladong key identifier strategy.