Argon2 Online - Passwort-Hashing

Erzeugen oder prüfen Sie Argon2id-Passwort-Hashes direkt im Browser. Argon2 gewann die Password Hashing Competition 2015, ist in RFC 9106 standardisiert und wird von OWASP für neue Passwortspeicherung empfohlen. Konfigurieren Sie Speicherbedarf, Iterationen, Parallelität, Ausgabelänge, Salt und Variante.

Salt (leer für zufällig)
Passwort
0 Zeichen · 0 Bytes
Hash zur Überprüfung
Ausprobieren:
Ergebnis
✓ Verarbeitung erfolgt lokal im Browser ✓ Eingaben werden nicht an den Server gesendet
Beispiele
Häufiges Passwort
Variante: argon2id Speicher (KiB): 19456 Iterationen: 2 Parallelität: 1 Schlüssellänge (Bytes): 32
Eingabe passwort123

Ein typisches schwaches Passwort. Klicken Sie auf Compute, um einen Argon2id-Hash mit empfohlenen Grundeinstellungen zu erzeugen.

Passphrase
Variante: argon2id Speicher (KiB): 19456 Iterationen: 2 Parallelität: 1 Schlüssellänge (Bytes): 32
Eingabe vier worte sicher merken

Eine längere Passphrase ist oft leichter zu merken und bietet mehr Entropie als ein kurzes Passwort.

Profil mit hohem Speicherbedarf
Variante: argon2id Speicher (KiB): 47104 Iterationen: 1 Parallelität: 1 Schlüssellänge (Bytes): 32
Eingabe admin-login-sommer-2026

Argon2id mit 47 MiB Speicher und einer Iteration, nützlich zum Vergleich eines speicherstärkeren Profils mit dem Standard.

Testvektor mit festem Salt
Variante: argon2id Speicher (KiB): 9216 Iterationen: 4 Parallelität: 1 Schlüssellänge (Bytes): 32 Salt (leer für zufällig): example-fixed-salt
Eingabe demo passwort

Verwendet ein festes Beispiel-Salt und das Profil 9 MiB / 4 Iterationen, damit wiederholte Läufe leichter vergleichbar sind. In Produktion immer zufällige einzigartige Salts nutzen.

Was ist Argon2?

Argon2 ist eine Funktion zum Hashen von Passwörtern und zur Schlüsselableitung. Sie wurde von Alex Biryukov, Daniel Dinu und Dmitry Khovratovich entwickelt und gewann 2015 die Password Hashing Competition. Später wurde Argon2 in RFC 9106 standardisiert und von OWASP als bevorzugte Wahl für moderne Passwortspeicherung empfohlen.

Die Argon2-Familie hat drei Varianten: Argon2d nutzt datenabhängige Speicherzugriffe und ist schnell, ist aber normalerweise nicht die beste Wahl für Web-Logins; Argon2i nutzt datenunabhängige Zugriffe und ist stärker gegen Seitenkanäle ausgelegt; Argon2id kombiniert beide Ansätze und ist der empfohlene Standard für Login-Systeme, SaaS-Produkte, Admin-Bereiche und andere Anwendungen mit Benutzerpasswörtern.

Memory-hardness und einstellbare Parameter

Die besondere Stärke von Argon2 ist Memory-hardness: Jeder Passwortversuch braucht nicht nur CPU-Zeit, sondern auch einen konfigurierten RAM-Bereich. Das ist bei Offline-Angriffen nach einem Datenbankleck wichtig, weil GPUs und ASICs nicht billig Millionen Versuche parallel ausführen können, wenn jeder Versuch Speicher reservieren muss.

Dieses Argon2-Online-Tool zeigt die Parameter, die Entwickler in der Praxis brauchen: memory in KiB, iterations als Zeitkosten, parallelism als Lanes, key length für die Ausgabelänge, optionales salt und die Argon2-Variante. Die Standardeinstellungen verwenden Argon2id mit 19.456 KiB Speicher, 2 Iterationen, 1 Lane und 32 Byte Ausgabe.

Wenn die Passwortprüfung auf Ihrem Produktionsserver zu schnell ist, erhöhen Sie Speicher oder Iterationen; wenn sie zu langsam ist, wählen Sie ein akzeptiertes Profil mit geringerer Latenz und dokumentieren Sie den Kompromiss. Testen Sie die Parameter auf Server-Hardware, nicht nur auf einem Entwicklergerät.

PHC-Ausgabe, Salts und Verifikation

Argon2-Hashes werden meist als PHC-kodierte Zeichenkette gespeichert, zum Beispiel $argon2id$v=19$m=19456,t=2,p=1$.... Darin stehen Variante, Version, Speicherbedarf, Iterationen, Parallelität, Salt und abgeleiteter Hash, sodass ein Prüfer später keine separaten Parameter-Spalten benötigt.

Nutzen Sie den Generate-Modus, um einen neuen Argon2-Passwort-Hash für Tests, Dokumentation oder Parametervergleiche zu erzeugen. Nutzen Sie Verify, wenn bereits ein gespeicherter Argon2-String vorliegt und Sie prüfen möchten, ob ein eingegebenes Passwort dazu passt. Für echte Benutzerkonten erzeugen Sie pro Passwort ein einzigartiges zufälliges Salt und speichern die komplette kodierte Ausgabe Ihrer serverseitigen Bibliothek.

Typische Argon2-Anwendungsfälle

Dieser Argon2-Online-Generator ist hilfreich, wenn Sie schnell einen Argon2id-Passwort-Hash für Dokumentation, Testdaten, Migrationsnotizen oder Parametervergleiche benötigen. Er eignet sich auch als Argon2-Verifier: Passwortkandidat und vorhandenen Hash einfügen, um die Übereinstimmung zu prüfen.

Häufige Suchintentionen sind Argon2id generator, Argon2 password hash generator, Argon2 hash verify, PHC encoded Argon2 sowie der Vergleich Argon2 vs bcrypt und PBKDF2. Die praktische Regel bleibt gleich: Argon2id verwenden, ein einzigartiges Salt nutzen, den vollständigen kodierten String speichern und Speicher- sowie Zeitkosten passend zur Produktionslast wählen.

FAQ

Verwenden Sie in der Regel Argon2id. Es kombiniert datenabhängige und datenunabhängige Speicherzugriffe und verbindet damit praktische Geschwindigkeit mit besserer Seitenkanal-Resistenz. RFC 9106 und OWASP empfehlen Argon2id als Standard. Argon2i passt nur, wenn Seitenkanäle das Hauptproblem sind; Argon2d nur in Umgebungen, in denen diese Angriffe keine Rolle spielen.

OWASP nennt mehrere akzeptable Kombinationen, etwa 19 MiB / 2 / 1, 47 MiB / 1 / 1 oder 9 MiB / 4 / 1. Wählen Sie ein Profil, das auf Ihrem Server ungefähr 100-500 ms benötigt. Ist der Speicher knapp, erhöhen Sie eher die Iterationen; ist CPU knapp, erhöhen Sie eher den Speicher. Parallelism muss außerhalb spezieller Mehrkern-Szenarien selten größer als 1 sein.

Argon2 ist memory-hard: Angreifer mit GPUs oder ASICs können die Kosten nicht einfach durch massive Parallelisierung drücken, weil jeder Versuch den konfigurierten Speicher braucht. bcrypt hat nur 4 KiB internen Zustand, PBKDF2 praktisch keinen Speicherfaktor. Mit 19 MiB pro Versuch kann eine GPU mit 24 GiB nur ungefähr 1200 Versuche parallel ausführen, statt Millionen wie bei PBKDF2.

Nein. Argon2 läuft vollständig im Browser über hash-wasm und WebAssembly. Ihr Passwort verlässt das Gerät nicht; es gibt keine serverseitige Verarbeitung oder Protokollierung des Passworts. Für Produktionskonten sollten Sie trotzdem eine serverseitige Bibliothek verwenden.

Nutzen Sie es zum Lernen, Testen von Parametern, für Beispiele und zur Prüfung vorhandener Hashes. Für echte Konten hashen Sie Passwörter auf dem Anwendungsserver mit gepflegter Bibliothek, sicherer Zufälligkeit, Rate-Limiting, Monitoring und einem Plan für spätere Parameter-Upgrades.

Ja. Ein PHC-kodierter Argon2-String enthält Variante, Version, Speicherbedarf, Iterationen, Parallelität, Salt und Hash in einem Wert. Speichern Sie den vollständigen String genau wie erzeugt, zum Beispiel einen Wert mit $argon2id$v=19$..., damit die Verifikation dieselben Parameter nutzen kann.

Nein. Ein Salt muss einzigartig und zufällig sein, aber nicht geheim. Es sorgt dafür, dass gleiche Passwörter unterschiedliche Hashes ergeben und vorberechnete Tabellen unbrauchbar werden. Speichern Sie das Salt zusammen mit dem Argon2-Hash, normalerweise im PHC-String.

Hashen Sie neu, wenn gespeicherte Parameter schwächer sind als Ihre aktuelle Richtlinie, wenn Sie von Argon2i oder Argon2d zu Argon2id wechseln oder wenn Hardwarefortschritte die alte Prüfung zu billig machen. Üblich ist: alten Hash beim Login prüfen und nach erfolgreicher Anmeldung transparent mit aktuellen Parametern neu speichern.
Verwandte Tools

HMAC-Generator

HMAC aus Text und einem geheimen Schlüssel direkt im Browser erzeugen.