À propos de ce générateur
Ce préréglage crée une valeur à haute entropie URL-safe pour la signature HMAC JWT. C'est un secret de développeur, pas un mot de passe utilisateur, et il ne quitte jamais ce navigateur.
Ce préréglage démarre en mode url-safe et génère 10 résultats indépendants à la fois. Chaque paramètre visible reste ajustable, et les valeurs générées ne sont pas envoyées à PwdGen.
Quand l'utiliser
- Créer un nouvel identifiant pour ce cas d'utilisation spécifique
- Remplacer un mot de passe réutilisé ou faible
- Générer des valeurs localement avant un stockage sécurisé
Taille de l'alphabet, entropie et hypothèses de force brute
Le plafond théorique d'entropie est calculé comme H = L × log2(A), où L est la longueur générée et A le nombre de caractères actuellement autorisés.
| Longueur | Alphabet | Espace de recherche | Plafond d'entropie | Moyenne à 10 milliards de suppositions/s |
|---|---|---|---|---|
| 64 | 64 | 6464 | 384.0 bits | 6.24e97 years |
Important : ce sont des estimations mathématiques pour des valeurs uniformément aléatoires. Les positions requises, les comptes restreints, les mots de passe répétés, les motifs de dictionnaire, les identifiants divulgués et les coûts réels de hachage de mots de passe peuvent modifier considérablement le résultat. Ce chiffre n'est pas une garantie de sécurité.
Guide de déploiement de la clé de signature JWT
Pour HS256, utilisez au moins 256 bits de matériel de clé uniformément aléatoire. HS384 et HS512 utilisent différentes tailles de sortie SHA-2, mais choisir un algorithme plus long ne répare pas une vérification faible, des clés divulguées ou des bugs de confusion d'algorithme.
Génération équivalente en terminal et Node.js
openssl rand -hex 32import { randomBytes } from 'node:crypto';
const jwtSecret = randomBytes(32).toString('hex');Stockage et rotation
- Gardez les clés de signature hors de Git, des bundles frontend, des URL, des analyses et des journaux d'application.
- Utilisez un gestionnaire de secrets, Vault, KMS ou une variable d'environnement protégée.
- Utilisez une stratégie kid contrôlée lors de la rotation des clés.
- Choisissez RS256 ou ES256 lorsque les vérificateurs ne doivent détenir qu'une clé publique.
Hex, Base64 et Base64URL sont des encodages—pas du chiffrement. La sécurité provient des octets aléatoires et de la façon dont la clé de signature est protégée.
Comment utiliser le résultat en toute sécurité
- Vérifiez les règles de mot de passe actuelles de la destination
- Utilisez un résultat unique et activez MFA si disponible
- Stockez les codes de récupération séparément du mot de passe
Méthode de génération et confidentialité
Le préréglage utilise le Web Crypto API du navigateur pour la sélection aléatoire. La régénération, la modification des paramètres, la sélection et la copie des résultats n'envoient pas les identifiants générés à PwdGen. L'estimateur de temps de craquage de mot de passe s'exécute également localement et est une estimation, pas une garantie.
Générateur de secret JWT FAQ
Quelle doit être la longueur d'un secret HS256 JWT ?
Utilisez au moins 256 bits de matériel de clé uniformément aléatoire pour HS256. Cette page génère une valeur d'alphabet Base64URL de 64 caractères, ce qui offre un espace de recherche théorique plus grand lorsqu'elle est générée uniformément.
Un secret JWT doit-il être stocké dans une variable d'environnement ?
Une variable d'environnement est plus sûre que le code source, mais peut encore fuir via l'inspection des processus, les journaux ou les outils de déploiement. Un magasin de secrets géré ou KMS est préférable pour les systèmes de production.
Quand dois-je utiliser RS256 ou ES256 au lieu de HMAC ?
Utilisez la signature asymétrique lorsque les vérificateurs ne doivent pas posséder la clé de signature privée ou lorsque plusieurs services ont besoin d'une vérification par clé publique. Protégez la clé privée et faites pivoter les clés avec une stratégie d'identifiant de clé contrôlée.