JPKCom DB

Generator — Tipps & Tricks

Kniffe für den Generator: Passwort-Stärke, Cost-Faktor wählen, BCrypt vs. Argon2, TOTP-Sicherheit und die Kombination mit Hash, Cryptor und PKI.

Zurück zur Übersicht: Generator · Tool live öffnen: www.jpkc.com/tools/generator/

Das Manual erklärt jeden Reiter, die Beispiele zeigen die Abläufe. Hier geht es um die Entscheidungen dahinter: wie stark ein Passwort wirklich sein muss, welchen Cost-Faktor du wählst, wann BCrypt und wann Argon2 — und wo du die Ergebnisse danach einsetzt.

Passwort-Stärke: Länge schlägt Zeichensatz

  • Länge ist der wichtigste Hebel. Jedes zusätzliche Zeichen multipliziert die Möglichkeiten. Ein 24-Zeichen-Passwort aus nur Buchstaben und Ziffern ist sicherer als ein 10-Zeichen-Passwort mit allen Sonderzeichen. Im Zweifel die Length hochziehen, statt an Sonderzeichen zu feilen.
  • Sonderzeichen nur, wo das Zielsystem mitspielt. Manche Logins, Datenbanken oder .env-Dateien zicken bei §, &, / oder Leerzeichen. Dafür gibt es die Stufe less specials (kompatibler) und a-z + A-Z + 0-9 (rein alphanumerisch, fast überall sicher einsetzbar).
  • Hex für Tokens, nicht für Menschen. Die Stufe a-f + 0-9 (hex) liefert einen sauberen, gut kopierbaren String für API-Tokens und maschinelle Keys — zum Merken ist sie wegen des kleinen Alphabets ungeeignet.
  • Apple-Stil ist der Kompromiss für Merkbares. Aussprechbar, mit Bindestrichen segmentiert und trotzdem mit Ziffer und Großbuchstabe — ideal für ein Master- oder Geräte-Passwort, das ein Mensch eintippen muss. Für rein maschinelle Geheimnisse nimm lieber die maximale Länge im Standard-Zeichensatz.
  • Jeder Wert ist ein Einmalwert. Generierst du erneut, ist der alte weg — kopier ihn, bevor du den Reiter wechselst oder neu generierst.

Cost-Faktor und Argon2-Speicher klug wählen

Beim Passwort-Hashing ist die Langsamkeit das Sicherheitsmerkmal: Je teurer der Hash, desto teurer ein Brute-Force-Angriff — aber desto länger dauert auch jeder legitime Login.

  • BCrypt Cost ist exponentiell: 10 (default) ist ein solider Allerwelts-Wert. 12 (slow) etwa vervierfacht den Aufwand gegenüber 10 (daher der Hinweis „~3–8 s" je nach Gerät) — sinnvoll für sensible Konten, wenn die Login-Latenz vertretbar ist. 8 (fast) nur für Tests oder sehr schwache Hardware.
  • Argon2 Memory macht den Hash speicherhart — das ist genau die Eigenschaft, die GPU- und ASIC-Angriffe ausbremst. 64 MB (OWASP) ist die empfohlene Vorgabe. Mehr Speicher (256 MB) erhöht die Sicherheit, kostet aber pro Hash spürbar Rechenzeit und RAM; auf gemeinsam genutzten Servern mit vielen parallelen Logins kann das zum Engpass werden.
  • Test vs. Produktion. Was hier im Browser ein paar Sekunden dauert, läuft auf deinem Server bei jedem Login. Wähle den Faktor so, dass er auf deiner Zielhardware noch komfortabel ist — nicht so, wie er hier im Tool gerade erträglich war.

BCrypt vs. Argon2 — und wann APR1-MD5

  • Neue Systeme: Argon2id. Es kombiniert Schutz gegen GPU-Angriffe (speicherhart) und gegen Seitenkanal-Angriffe und ist die heutige Empfehlung, wenn deine Plattform es unterstützt (z. B. PHP PASSWORD_ARGON2ID).
  • Breite Kompatibilität: BCrypt. Bewährt, überall verfügbar, gut verstanden. Wenn deine Sprache/Framework kein Argon2 kann oder Bestands-Hashes BCrypt sind, ist BCrypt die richtige Wahl.
  • Argon2i vs. Argon2id: Argon2id ist die empfohlene Allzweck-Variante; reines Argon2i ist vor allem für spezielle Bedrohungsmodelle gedacht. Im Zweifel Argon2id.
  • APR1-MD5 ist kein Passwort-Hash für Anwendungen. Es existiert nur für Apache-.htpasswd-Dateien (Basic Auth). MD5-basiert und kryptografisch schwach — nutze es ausschließlich für genau diesen Zweck und niemals zum Speichern von Anwendungs-Passwörtern. Für die brauchst du BCrypt oder Argon2.
  • Salt ist immer dabei. Das Tool erzeugt für jeden BCrypt-/Argon2-Hash ein eigenes zufälliges Salt; du musst dich darum nicht kümmern. Identische Passwörter ergeben deshalb verschiedene Hashes — das ist korrekt und gewollt.

TOTP-Sicherheit

  • Das Secret ist der Schlüssel zum Königreich. Wer das Base32-Secret besitzt, kann jederzeit gültige Codes erzeugen. Behandle es wie ein Passwort: sicher übertragen, nicht in Klartext-Logs, nach der Einrichtung sicher verwahren oder löschen. Pluspunkt hier: Secret und Codes entstehen vollständig in deinem Browser und werden nie an einen Server gesendet.
  • Zeit muss stimmen. TOTP hängt an der Uhr. Weicht die Zeit deines Servers oder Geräts stark ab, passen die Codes nicht. Die Infokarten Epoch (UTC) und Iteration (T) helfen beim Debuggen einer Zeitabweichung.
  • 30 Sekunden ist Standard. Fast alle Dienste erwarten 30 seconds. Wähle 60 seconds nur, wenn die Gegenseite das ausdrücklich verlangt — sonst akzeptiert die App die Codes nicht.
  • Parameter sind fix kompatibel. Die Key-URL nutzt algorithm=SHA1 und digits=6 — genau das, was Standard-Authenticator-Apps erwarten. Das ist Absicht, kein Mangel.
  • Sichere den QR/das Secret als Backup. Verlierst du den Zugriff auf den Authenticator, brauchst du das Secret zur Wiederherstellung. Save QR Code oder das kopierte Secret an einem sicheren Ort ist dein Notnagel.

Wo Hashes verifiziert werden

Der Generator erzeugt Hashes, prüft sie aber nicht. Verifiziert wird immer auf der Zielseite:

  • BCrypt/Argon2 prüft deine Anwendung beim Login — z. B. in PHP mit password_verify($eingabe, $hash). Der encoded-Hash trägt alle nötigen Parameter in sich, du musst nichts zusätzlich speichern.
  • APR1-MD5 prüft Apache selbst gegen die .htpasswd, sobald ein geschütztes Verzeichnis aufgerufen wird.
  • TOTP prüft der Dienst, bei dem du den Code hinterlegt hast, gegen den jeweils aktuellen Zeitschritt.

Mit anderen JPKCom-Tools kombinieren

  • Reine Prüfsumme statt Passwort-Hash? Wenn du nicht ein Passwort sicher speichern, sondern Inhalte vergleichen oder eine Integritätsprüfung machen willst, nimm den Hash-Generator (MD5, SHA-1, SHA-256, SHA-512, RIPEMD-160). Faustregel: Passwörter → Generator (BCrypt/Argon2), Daten-Fingerabdruck → Hash-Generator.
  • Geheimnis verschlüsseln statt hashen? Soll ein Wert wieder entschlüsselbar sein (Hashing ist es nicht), nutze den Cryptor für symmetrische Ver-/Entschlüsselung von Texten und Dateien.
  • Zertifikate und Schlüssel prüfen. Hast du mit den hier erzeugten Geheimnissen eine TLS-/Auth-Infrastruktur aufgebaut, kannst du die zugehörigen X.509-Zertifikate und CSRs mit dem PKI Viewer untersuchen.
  • Eindeutige ID statt Geheimnis. Brauchst du keinen geheimen Schlüssel, sondern einen eindeutigen Bezeichner (etwa als Datenbank-Key), liefert der UUID-Generator das passende Format.

Noch mehr Kontext: die Übersicht zum großen Bild, das Manual für jeden Parameter und die Beispiele für die Schritt-für-Schritt-Abläufe. Ausprobieren kannst du alles direkt im Tool.