JPKCom DB

Hash Generator — Tipps & Tricks

Sicherheits-Einordnung zum Hash Generator: warum MD5/SHA-1 gebrochen sind, Hashing ≠ Verschlüsselung ≠ Passwort-Hashing und Kombination mit anderen Tools.

Zurück zur Übersicht: Hash Generator · Tool live öffnen: www.jpkc.com/tools/hash/

Das Manual erklärt jeden Algorithmus, die Beispiele zeigen die Abläufe. Hier geht es um die Einordnung, die über jedem Hash-Tool stehen sollte: welcher Algorithmus wofür, was ein Hash nicht ist, und wo die typischen Denkfehler liegen.

Die wichtigste Regel: MD5 und SHA-1 sind kryptografisch gebrochen

MD5 und SHA-1 gelten als kryptografisch unsicher. Für beide lassen sich mit vertretbarem Aufwand Kollisionen erzeugen — zwei verschiedene Eingaben mit demselben Hash. Das bedeutet konkret:

  • Nicht mehr verwenden für Signaturen, Zertifikate, Sicherheits-Tokens oder überall dort, wo ein Angreifer ein Interesse daran hätte, eine zweite Eingabe mit gleichem Hash unterzuschieben.
  • Weiterhin in Ordnung als reine Prüfsumme gegen versehentliche Veränderung — etwa um einen unbeabsichtigt beschädigten Download zu erkennen, wenn der Anbieter nun mal nur einen MD5-Wert nennt. Gegen zufällige Bitfehler taugt MD5 noch; gegen einen Angreifer nicht.

Das Tool bietet MD5 und SHA-1 bewusst weiter an, weil beide in der Praxis als Legacy-Prüfsummen noch vorkommen. Nutze sie mit diesem Wissen — und wo du die Wahl hast, nimm SHA-256.

Welchen Algorithmus wofür

  • Integrität / Prüfsummen (Standard): SHA-256. Breit unterstützt, schnell genug, sicher. Die Default-Empfehlung für Download-Verifizierung und Datei-Vergleiche.
  • Maximale Reserve: SHA-512 (oder SHA-3 (512)) — längerer Hash, mehr Sicherheitsmarge, minimal langsamer.
  • Moderner Standard mit anderer Konstruktion: SHA-3 (Keccak). Sinnvoll, wenn explizit SHA-3 gefordert ist oder du nicht auf der SHA-2-Familie aufsetzen willst.
  • RIPEMD-160: vor allem dort relevant, wo es konkret verlangt wird (z. B. bestimmte Krypto-/Adressformate). Sonst kein Grund, es SHA-256 vorzuziehen.
  • MD5 / SHA-1: nur, wenn die Gegenstelle es vorgibt — und nur als Integritäts-, nie als Sicherheits-Check.

Hashing ist weder Verschlüsselung noch Passwort-Hashing

Drei Dinge werden oft verwechselt — sie sind grundverschieden:

  • Hashing (dieses Tool) ist eine Einbahnstraße: Aus dem Hash lässt sich die Eingabe nicht zurückrechnen. Es gibt keinen „Entschlüsseln"-Knopf, weil ein Hash nichts verschlüsselt — er bildet ab. Gut für Integrität und Fingerabdrücke.
  • Verschlüsselung ist umkehrbar (mit Schlüssel): Klartext rein, Geheimtext raus, und mit dem Schlüssel wieder zurück. Dafür ist dieses Tool nicht zuständig — nimm den Cryptor.
  • Passwort-Hashing ist ein eigener Anwendungsfall mit eigenen Verfahren: BCrypt oder Argon2 sind absichtlich langsam und nutzen ein Salt, um Brute-Force und Rainbow-Tables auszubremsen. Speichere Passwörter niemals als MD5/SHA aus diesem Tool — schnelle Hashes sind dafür genau das Falsche. Für BCrypt/Argon2 ist der Generator das richtige Werkzeug.

Kurz: Brauchst du umkehrbar, ist es Verschlüsselung. Geht es um Passwörter speichern, brauchst du BCrypt/Argon2. Nur für Fingerabdruck/Integrität bist du hier richtig.

HMAC richtig einsetzen

  • HMAC braucht ein Geheimnis. Der Wert ist nur so stark wie der Schlüssel. Tipp ihn nicht selbst aus dem Kopf — nutz den Schlüssel-Button neben dem Feld, der eine zufällige 64-Zeichen-Passphrase erzeugt.
  • HMAC ≠ einfacher Hash mit angehängtem Schlüssel. HMAC hat eine eigene, gegen Length-Extension-Angriffe gehärtete Konstruktion. Genau deshalb signiert man API-Requests mit HMAC und nicht mit SHA256(schlüssel + nachricht).
  • HMAC-SHA-256 ist der Default für Request-Signaturen und Webhooks. Greif nur zu HMAC-MD5/HMAC-SHA-1, wenn eine Gegenstelle es ausdrücklich verlangt.
  • Kein HMAC für jeden SHA-3-Subtyp: Im Tool gibt es eine HMAC-Schaltfläche nur für SHA-3 (512) — die kleineren SHA-3-Varianten bieten keine.

Stolperfallen aus der Praxis

  • Hash hängt am exakten Input. Ein unsichtbares Leerzeichen, ein Zeilenende (\n vs. \r\n) oder eine andere Zeichenkodierung ändert den Hash komplett. Wenn ein Text-Hash „nicht passt", liegt es fast immer an genau so einem unsichtbaren Unterschied — beim File Hash dagegen wird der rohe Datei-Inhalt gehasht, da gibt es dieses Problem nicht.
  • Text-Hash ≠ Datei-Hash derselben Zeichen. Tippst du hello in das Message-Feld, hasht das Tool die fünf Zeichen. Eine Datei mit dem Inhalt hello kann durch ein angehängtes Zeilenende abweichen. Vergleiche also immer Gleiches mit Gleichem.
  • Andere Auswahl bei Datei vs. Text. Das File Hash rechnet MD5, SHA-1, SHA-256, SHA-384, SHA-512, SHA-3 (256), SHA-3 (512), RIPEMD-160 — aber kein SHA-224, SHA-3 (224)/(384) und kein HMAC. Diese brauchst du im Text-Bereich.
  • Hex ist case-insensitiv, aber kopier sauber. Die Ausgabe ist kleingeschriebenes Hex; ein veröffentlichter Wert in Großbuchstaben meint dasselbe. Vergleich am besten case-unabhängig, statt an der Schreibweise zu scheitern.
  • 100-MB-Grenze. Größere Dateien lehnt das Tool ab. Für ein noch größeres Image brauchst du ein lokales Kommandozeilen-Werkzeug (sha256sum o. Ä.).

Mit anderen JPKCom-Tools kombinieren

  • Passwörter speichern? Nicht hier — der Generator macht BCrypt/Argon2 (und liefert auch TOTP-Codes und sichere Passwörter).
  • Inhalte vertraulich machen? Das ist Verschlüsselung — dafür ist der Cryptor da.
  • Zertifikate, Schlüsselpaare, Signaturen? Der PKI ergänzt das Hashing um die Public-Key-Welt.

Noch mehr Kontext: die Übersicht zum großen Bild, das Manual für jeden Algorithmus und die Beispiele für die Schritt-für-Schritt-Abläufe. Ausprobieren kannst du alles direkt im Tool.