Despre acest generator
Acest preset creează o valoare de mare entropie URL-safe pentru semnarea HMAC JWT. Este un secret de dezvoltator, nu o parolă de utilizator, și nu părăsește niciodată acest browser.
Acest preset pornește în modul url-safe și generează 10 rezultate independente simultan. Toate setările vizibile rămân ajustabile, iar valorile generate nu sunt trimise către PwdGen.
Când să îl folosești
- Crearea unui nou credențial pentru acest caz de utilizare specific
- Înlocuirea unei parole reuse sau slabe
- Generarea de valori local înainte de stocarea securizată
Dimensiunea alfabetului, entropia și ipotezele de forță brută
Plafonul teoretic al entropiei se calculează ca H = L × log2(A), unde L este lungimea generată, iar A este numărul de caractere permise în prezent.
| Lungime | Alfabet | Spațiu de căutare | Plafon entropie | Medie la 10 miliarde de încercări/s |
|---|---|---|---|---|
| 64 | 64 | 6464 | 384.0 biți | 6.24e97 years |
Important: acestea sunt estimări matematice pentru valori uniform aleatoare. Pozițiile obligatorii, numărul restricționat, parolele repetate, modelele din dicționar, acreditările scurse și costurile reale de hashing pot modifica substanțial rezultatul. Cifra nu este o garanție de securitate.
Ghid de implementare pentru secretul de semnare JWT
Pentru HS256, utilizați cel puțin 256 de biți de material cheie uniform aleator. HS384 și HS512 folosesc dimensiuni de ieșire SHA-2 diferite, dar alegerea unui algoritm mai lung nu repară verificarea slabă, cheile scurse sau erorile de confuzie a algoritmilor.
Generare echivalentă în terminal și Node.js
openssl rand -hex 32import { randomBytes } from 'node:crypto';
const jwtSecret = randomBytes(32).toString('hex');Stocare și rotație
- Păstrați cheile de semnare în afara Git, a pachetelor frontend, a URL-urilor, a analiticelor și a jurnalelor aplicației.
- Utilizați un manager de secrete, Vault, KMS sau o variabilă de mediu protejată.
- Utilizați o strategie controlată de kid la rotirea cheilor.
- Alegeți RS256 sau ES256 atunci când verificatorii ar trebui să dețină doar o cheie publică.
Hex, Base64 și Base64URL sunt codificări – nu criptare. Securitatea provine din octeții aleatori și din modul în care este protejată cheia de semnare.
Cum să folosești rezultatul în siguranță
- Verifică regulile actuale ale parolelor la destinație
- Folosește un rezultat unic și activează MFA acolo unde este disponibil
- Stochează codurile de recuperare separat de parolă
Metoda de generare și confidențialitate
Presetul utilizează Web Crypto API al browserului pentru selecția aleatoare. Regenerarea, modificarea setărilor, selectarea și copierea rezultatelor nu trimit acreditările generate către PwdGen. Estimarea timpului de spargere a parolei rulează, de asemenea, local și este o estimare, nu o garanție.
Generator de secret Jwt FAQ
Cât de lung ar trebui să fie un secret HS256 JWT?
Folosește cel puțin 256 de biți de material cheie uniform aleator pentru HS256. Această pagină generează o valoare de 64 de caractere din alfabetul Base64URL, care oferă un spațiu de căutare teoretic mai mare atunci când este generată uniform.
Ar trebui un secret JWT să fie stocat într-o variabilă de mediu?
O variabilă de mediu este mai sigură decât codul sursă, dar poate totuși să se scurgă prin inspectarea proceselor, jurnale sau instrumente de implementare. Un magazin de secrete gestionat sau KMS este de preferat pentru sistemele de producție.
Când ar trebui să folosesc RS256 sau ES256 în loc de HMAC?
Folosește semnarea asimetrică atunci când verificatorii nu ar trebui să dețină cheia privată de semnare sau când mai multe servicii au nevoie de verificare cu cheie publică. Protejează cheia privată și rotește cheile cu o strategie controlată de identificare a cheilor.