Informazioni su questo generatore
Questa preimpostazione crea un valore ad alta entropia URL-safe per la firma HMAC JWT. È un segreto per sviluppatori, non una password utente, e non lascia mai questo browser.
Questo preset inizia con la modalità url-safe e genera 10 risultati indipendenti alla volta. Ogni impostazione visibile rimane regolabile e i valori generati non vengono inviati a PwdGen.
Quando usarlo
- Creare una nuova credenziale per questo caso d'uso specifico
- Sostituire una password riutilizzata o debole
- Generare valori localmente prima dell'archiviazione sicura
Dimensione dell'alfabeto, entropia e ipotesi di forza bruta
Il limite teorico di entropia è calcolato come H = L × log2(A), dove L è la lunghezza generata e A è il numero di caratteri attualmente consentiti.
| Lunghezza | Alfabeto | Spazio di ricerca | Limite di entropia | Media a 10 miliardi di tentativi/s |
|---|---|---|---|---|
| 64 | 64 | 6464 | 384.0 bit | 6.24e97 years |
Importante: queste sono stime matematiche per valori uniformemente casuali. Posizioni richieste, conteggi limitati, password ripetute, pattern di dizionario, credenziali compromesse e costi reali di hashing delle password possono modificare sostanzialmente il risultato. La cifra non è una garanzia di sicurezza.
Guida alla distribuzione della chiave di firma JWT
Per HS256, utilizzare almeno 256 bit di materiale chiave uniformemente casuale. HS384 e HS512 utilizzano diverse dimensioni di output SHA-2, ma scegliere un algoritmo più lungo non ripara verifica debole, chiavi compromesse o bug di confusione dell'algoritmo.
Generazione equivalente in terminale e Node.js
openssl rand -hex 32import { randomBytes } from 'node:crypto';
const jwtSecret = randomBytes(32).toString('hex');Archiviazione e rotazione
- Mantenere le chiavi di firma fuori da Git, bundle frontend, URL, analytics e log delle applicazioni.
- Utilizzare un secret manager, Vault, KMS o una variabile d'ambiente protetta.
- Utilizzare una strategia kid controllata durante la rotazione delle chiavi.
- Scegliere RS256 o ES256 quando i verificatori devono contenere solo una chiave pubblica.
Hex, Base64 e Base64URL sono codifiche, non crittografia. La sicurezza deriva dai byte casuali e da come la chiave di firma è protetta.
Come utilizzare il risultato in modo sicuro
- Controlla le regole attuali delle password della destinazione
- Usa un risultato unico e abilita MFA dove disponibile
- Conserva i codici di recupero separatamente dalla password
Metodo di generazione e privacy
Il preset utilizza il Web Crypto API del browser per la selezione casuale. Rigenerare, modificare le impostazioni, selezionare e copiare i risultati non invia le credenziali generate a PwdGen. Anche lo stimatore del tempo di cracking delle password viene eseguito localmente ed è una stima, non una garanzia.
Generatore di Segreto JWT FAQ
Quanto lungo dovrebbe essere un segreto HS256 JWT?
Usa almeno 256 bit di materiale chiave uniformemente casuale per HS256. Questa pagina genera un valore di 64 caratteri con alfabeto Base64URL, che fornisce uno spazio di ricerca teorico più ampio quando generato uniformemente.
Un segreto JWT dovrebbe essere memorizzato in una variabile d'ambiente?
Una variabile d'ambiente è più sicura del codice sorgente ma può comunque trapelare attraverso ispezione dei processi, log o strumenti di distribuzione. Un archivio di segreti gestito o KMS è preferibile per i sistemi di produzione.
Quando dovrei usare RS256 o ES256 invece di HMAC?
Usa la firma asimmetrica quando i verificatori non dovrebbero possedere la chiave privata di firma o quando più servizi necessitano di verifica con chiave pubblica. Proteggi la chiave privata e ruota le chiavi con una strategia di identificazione delle chiavi controllata.