Argon2 en ligne - hachage de mots de passe

Générez ou vérifiez des hash Argon2id de mots de passe dans le navigateur. Argon2 a remporté la Password Hashing Competition 2015, est standardisé par RFC 9106 et recommandé par OWASP pour le stockage moderne des mots de passe. Réglez mémoire, itérations, parallélisme, longueur de sortie, sel et variante.

Salt (vide — aléatoire)
Mot de passe
0 caract. · 0 octets
Empreinte à vérifier
Essayer :
Résultat
✓ Traitement local dans le navigateur ✓ La saisie n’est pas envoyée au serveur
Exemples
Mot de passe courant
Variante: argon2id Mémoire (KiB): 19456 Itérations: 2 Parallélisme: 1 Longueur de clé (octets): 32
Entrée motdepasse123

Un mot de passe typique. Cliquez sur Compute pour générer un hash Argon2id avec les réglages de base recommandés.

Phrase de passe
Variante: argon2id Mémoire (KiB): 19456 Itérations: 2 Parallélisme: 1 Longueur de clé (octets): 32
Entrée quatre mots faciles a retenir

Une phrase de passe longue est souvent facile à mémoriser et offre plus d’entropie qu’un mot de passe court.

Profil à mémoire élevée
Variante: argon2id Mémoire (KiB): 47104 Itérations: 1 Parallélisme: 1 Longueur de clé (octets): 32
Entrée admin-login-ete-2026

Argon2id avec 47 MiB de mémoire et une itération, utile pour comparer un profil à mémoire élevée au profil par défaut.

Vecteur de test avec sel fixe
Variante: argon2id Mémoire (KiB): 9216 Itérations: 4 Parallélisme: 1 Longueur de clé (octets): 32 Salt (vide — aléatoire): example-fixed-salt
Entrée mot de passe demo

Utilise un sel d’exemple fixe et le profil 9 MiB / 4 itérations pour faciliter la comparaison de plusieurs exécutions. En production, utilisez des sels aléatoires uniques.

Qu’est-ce qu’Argon2 ?

Argon2 est une fonction de hachage de mots de passe et de dérivation de clé conçue par Alex Biryukov, Daniel Dinu et Dmitry Khovratovich. Elle a gagné la Password Hashing Competition en 2015, a été standardisée dans RFC 9106 et fait partie des recommandations OWASP pour le stockage des mots de passe dans les nouveaux systèmes.

La famille Argon2 comprend trois variantes : Argon2d utilise des accès mémoire dépendants des données et est rapide, mais convient rarement au stockage de mots de passe web ; Argon2i utilise des accès indépendants des données et résiste mieux aux canaux auxiliaires ; Argon2id combine les deux approches et constitue le choix par défaut recommandé pour les connexions, les applications SaaS, les panneaux d’administration et les autres services qui stockent des mots de passe.

Memory-hardness et paramètres réglables

La force d’Argon2 vient de sa memory-hardness : chaque essai de mot de passe exige une quantité configurable de RAM, pas seulement du temps CPU. C’est décisif lors d’une attaque hors ligne après fuite de base de données, car GPU et ASIC ne peuvent pas lancer à bas coût des millions d’essais parallèles si chaque essai réserve de la mémoire.

Cet outil Argon2 en ligne expose les paramètres utiles aux développeurs : memory en KiB, iterations comme coût temporel, parallelism comme nombre de lanes, key length pour la longueur de sortie, un salt optionnel et la variante Argon2. Les réglages par défaut utilisent Argon2id avec 19 456 KiB de mémoire, 2 itérations, 1 lane et une sortie de 32 octets.

Si la vérification est trop rapide en production, augmentez la mémoire ou les itérations ; si elle est trop lente, choisissez un profil acceptable à latence plus faible et documentez le compromis. Mesurez sur une machine comparable à la production, pas seulement sur un poste de développement.

Sortie PHC, sels et vérification

Les hash Argon2 sont généralement stockés sous forme de chaîne PHC, par exemple $argon2id$v=19$m=19456,t=2,p=1$.... Elle contient la variante, la version, le coût mémoire, les itérations, le parallélisme, le sel et le hash dérivé ; le vérificateur peut donc retrouver les paramètres sans colonnes séparées.

Utilisez le mode Generate pour créer un nouveau hash Argon2 de mot de passe à des fins de test, de documentation ou de comparaison de paramètres. Utilisez Verify lorsqu’une chaîne Argon2 est déjà stockée et que vous voulez vérifier si un mot de passe candidat correspond. Pour de vrais comptes, générez un sel aléatoire unique par mot de passe et stockez la sortie encodée complète produite par votre bibliothèque serveur.

Usages courants d’Argon2

Ce générateur Argon2 en ligne sert à obtenir rapidement un hash Argon2id pour une documentation, des fixtures de test, des notes de migration ou une comparaison de paramètres. Il sert aussi de vérificateur Argon2 : collez un mot de passe candidat et un hash existant pour confirmer la correspondance.

Les recherches fréquentes portent sur Argon2id generator, Argon2 password hash generator, verify Argon2 hash, PHC encoded Argon2 ou la comparaison Argon2 vs bcrypt et PBKDF2. La règle pratique reste la même : utiliser Argon2id avec un sel unique, stocker la chaîne encodée complète et choisir des coûts mémoire et temps soutenables par le flux de connexion en production.

FAQ

Utilisez Argon2id dans la plupart des cas. Il combine accès mémoire dépendants et indépendants des données, avec la rapidité pratique d’Argon2d et une meilleure résistance aux canaux auxiliaires comme Argon2i. RFC 9106 et OWASP recommandent Argon2id par défaut. Argon2i se justifie surtout lorsque les canaux auxiliaires sont le risque principal ; Argon2d seulement lorsque ce risque est exclu.

OWASP cite plusieurs combinaisons acceptables : 19 MiB / 2 / 1, 47 MiB / 1 / 1 ou 9 MiB / 4 / 1. Choisissez celle qui prend environ 100-500 ms sur votre serveur. Si la mémoire est limitée, augmentez les itérations ; si le CPU est limité, augmentez la mémoire. Le parallélisme doit rarement dépasser 1 hors scénarios multicœurs spécifiques.

Argon2 est memory-hard : un attaquant avec GPU ou ASIC ne peut pas réduire fortement le coût par simple parallélisation, car chaque essai consomme la mémoire configurée. bcrypt n’a que 4 KiB d’état interne et PBKDF2 n’a pratiquement pas de coût mémoire. Avec 19 MiB par essai, un GPU de 24 GiB ne lance qu’environ 1200 essais parallèles, contre des millions avec PBKDF2.

Non. Argon2 est calculé entièrement dans le navigateur avec hash-wasm et WebAssembly. Le mot de passe ne quitte pas votre appareil : pas de traitement serveur ni de journalisation. Pour les comptes réels en production, utilisez tout de même une bibliothèque côté serveur.

Utilisez-le pour apprendre, tester des paramètres, préparer des exemples et vérifier des hash existants. Pour de vrais comptes, hachez les mots de passe sur le serveur applicatif avec une bibliothèque maintenue, une source aléatoire sûre, une limitation de débit, du monitoring et un plan de mise à jour des paramètres.

Oui. Une chaîne Argon2 encodée PHC contient la variante, la version, le coût mémoire, les itérations, le parallélisme, le sel et le hash dans une seule valeur. Stockez la chaîne complète telle qu’elle est générée, par exemple une valeur commençant par $argon2id$v=19$..., afin que la vérification puisse reprendre les mêmes paramètres.

Non. Un sel doit être unique et aléatoire, mais il n’est pas secret. Il fait produire des hash différents à des mots de passe identiques et rend inutiles les tables précalculées. Stockez-le avec le hash Argon2, généralement dans la chaîne PHC.

Rehachez lorsque les paramètres stockés sont plus faibles que votre politique actuelle, lorsque vous migrez d’Argon2i ou Argon2d vers Argon2id, ou lorsque le matériel rend l’ancien coût trop faible. Un schéma courant consiste à vérifier l’ancien hash lors de la connexion, puis à stocker automatiquement un nouveau hash avec les paramètres actuels.
Outils associés

Générateur HMAC

Générez un HMAC avec un texte et une clé secrète dans votre navigateur.