MT
My Toolbox

Hash-Generator: SHA-256, SHA-512 und mehr online erzeugen

Beliebigen Text einfügen und sofort SHA-1, SHA-256, SHA-384, SHA-512 Hash erhalten. Verwendet die Web Crypto API. Deine Daten bleiben im Browser, nichts geht an einen Server. Nützlich für Dateiintegritätsprüfungen, Passwortspeicher-Verifizierung und API-Signatur-Debugging.

Generieren Sie MD5, SHA-1, SHA-256 Hash-Werte

SHA-1
1 bits
SHA-256
256 bits
SHA-384
384 bits
SHA-512
512 bits

tools.hashGenerator.enterText

Generieren Sie MD5, SHA-1, SHA-256 Hash-Werte

SHA-1

160 bits

SHA-256

256 bits

SHA-384

384 bits

SHA-512

512 bits

Hash-Werte generieren (MD5, SHA-1, SHA-256)

Was Hashing tatsächlich macht

Eine Hash-Funktion nimmt jede Eingabe (ein einzelnes Zeichen oder eine 10GB-Datei) und erzeugt eine Ausgabe fester Länge, den "Digest". SHA-256 gibt immer 64 Hex-Zeichen aus, unabhängig von der Eingabegröße. Dieselbe Eingabe ergibt immer denselben Hash, aber ändere ein Bit und die Ausgabe ist komplett anders. Das ist der "Lawineneffekt."

Kritische Eigenschaft: Hashing ist Einweg. Du kannst einen SHA-256-Hash nicht umkehren, um die ursprüngliche Eingabe zu erhalten. Das macht es nützlich für Passwortspeicherung. Du speicherst den Hash, nicht das Passwort. Wenn ein Benutzer sich anmeldet, hashst du seine Eingabe und vergleichst Hashes.

SHA-256 gehört zur SHA-2-Familie, definiert in FIPS 180-4 (veröffentlicht von NIST). Es wird im Bitcoin-Mining, TLS-Zertifikaten, Git-Commit-IDs und den meisten API-Signaturverfahren verwendet. SHA-1 ist für Sicherheit veraltet (Kollision 2017 durch Googles SHAttered-Projekt gefunden), wird aber weiterhin für Nicht-Sicherheits-Prüfsummen wie Git-Objekt-Hashes verwendet.

Anleitung

  1. Text in das Eingabefeld einfügen oder eintippen.
  2. Alle Hash-Algorithmen berechnen gleichzeitig, kein vorheriges Auswählen nötig.
  3. Den benötigten Hash mit einem Klick kopieren.
  4. Für Datei-Hashing den Dateiinhalt einfügen oder sha256sum auf der Kommandozeile verwenden.

Wann du das brauchst

Dateiintegrität nach Download verifizieren

ISO oder Binary heruntergeladen? Der Herausgeber listet einen SHA-256-Hash. Dateiinhalt hier einfügen (oder sha256sum auf CLI) und vergleichen. Wenn die Hashes übereinstimmen, wurde die Datei während der Übertragung nicht beschädigt oder manipuliert.

API-Signatur-Generierung debuggen

Viele APIs (AWS, Stripe, Webhooks) erfordern HMAC-SHA256-Signaturen. Wenn deine Signatur nicht übereinstimmt, den String-to-Sign hier einfügen, um deine Zwischen-Hash-Werte Schritt für Schritt zu verifizieren.

Prüfen ob ein Passwort in Leak-Datenbanken vorkommt

HaveIBeenPwneds API verwendet SHA-1-Präfix-Matching (k-Anonymität). Passwort mit SHA-1 hashen, die ersten 5 Zeichen an deren API senden, und prüfen ob der vollständige Hash in der Antwort vorkommt.

Deterministische IDs aus Inhalten generieren

Brauchst du eine eindeutige ID für einen Inhalt, die jedes Mal gleich ist? Inhalt mit SHA-256 hashen. Gleicher Inhalt = gleicher Hash = gleiche ID. Wird verwendet in Content-Addressable Storage, Cache-Keys und Deduplizierung.

Was du wissen solltest

1.

Niemals einfache Hashes für Passwortspeicherung

SHA-256 ist schnell, und das ist schlecht für Passwörter. Ein Angreifer mit GPU kann Milliarden SHA-256-Hashes pro Sekunde testen. Verwende bcrypt, scrypt oder Argon2 für Passwörter. Die sind absichtlich langsam (100ms+ pro Hash), um Brute-Force unpraktisch zu machen.

2.

SHA-1 ist für Sicherheit gebrochen, für Prüfsummen in Ordnung

Google demonstrierte 2017 eine SHA-1-Kollision (SHAttered). Nicht für digitale Signaturen oder Zertifikate verwenden. Aber für Nicht-Sicherheits-Verwendungen wie Git-Objekt-IDs oder Cache-Invalidierung ist es weiterhin in Ordnung.

3.

Gleiche Eingabe = gleicher Hash, immer

Hashes sind deterministisch. Wenn du "hello" heute und in 10 Jahren mit SHA-256 hashst, bekommst du dieselbe Ausgabe. Aber das bedeutet auch, dass identische Passwörter identische Hashes erzeugen. Deshalb fügst du vor dem Hashen von Passwörtern einen zufälligen Salt hinzu.

4.

Hash-Länge ist nicht gleich Sicherheitsniveau

SHA-256 gibt 256 Bit aus, bietet aber 128 Bit Kollisionsresistenz (Geburtstagsangriff). SHA-512 gibt 512 Bit aus mit 256 Bit Kollisionsresistenz. Für die meisten Anwendungen ist SHA-256 mehr als ausreichend.

Beispiele

SHA-256 eines einfachen Strings

Der klassische Test: "hello" hashen um zu verifizieren, dass deine Implementierung übereinstimmt.

Input

hello

Output

2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824

Ein Zeichen geändert = komplett anderer Hash

Demonstriert den Lawineneffekt. "hello" vs "Hello" (großes H).

Input

Hello

Output

185f8db32271fe25f561a6fc938b2e264306ec304eda518007d1764826381969

Funktionen

  • SHA-1, SHA-256, SHA-384, SHA-512 werden gleichzeitig berechnet
  • Web Crypto API: kryptografisch korrekte Implementierung
  • Ergebnisse erscheinen während der Eingabe, kein Button-Klick nötig
  • Ein-Klick-Kopie für jeden Algorithmus
  • Läuft 100% im Browser, null Netzwerkanfragen
  • Kostenlos, keine Anmeldung, kein Tracking

Häufige Fragen

Kann ich einen Hash "entschlüsseln" oder umkehren?

Nein. Hash-Funktionen sind mathematisch Einweg. Du kannst die Eingabe nicht aus der Ausgabe berechnen. Die einzige Möglichkeit einen Hash zu "knacken" ist, Eingaben zu raten bis eine übereinstimmt (Brute Force) oder vorberechnete Tabellen zu verwenden (Rainbow Tables). Deshalb sind lange, zufällige Passwörter wichtig.

SHA-256 oder SHA-512?

Für die meisten Zwecke reicht SHA-256. SHA-512 ist auf 64-Bit-Systemen etwas schneller und erzeugt einen längeren Hash, aber beide bieten mehr als genug Sicherheit. Nimm SHA-256, es sei denn du hast einen spezifischen Grund für SHA-512.

Warum soll ich SHA-256 nicht direkt für Passwort-Hashing verwenden?

Weil es zu schnell ist. Eine moderne GPU kann ~10 Milliarden SHA-256-Hashes pro Sekunde berechnen. Ein 8-Zeichen-Passwort hat ~6x10^15 Kombinationen, in ~7 Tagen knackbar. bcrypt/Argon2 sind absichtlich langsam (~100ms pro Hash), wodurch derselbe Angriff Tausende von Jahren dauern würde.

Was ist der Unterschied zwischen Hashing und Verschlüsselung?

Verschlüsselung ist umkehrbar (mit dem Schlüssel). Hashing nicht. Verschlüsselung: Klartext zu Chiffretext zu Klartext. Hashing: Eingabe zu Hash (kein Weg zurück). Verschlüsselung wenn du die Originaldaten wiederherstellen musst. Hashing wenn du nur verifizieren musst, dass Daten übereinstimmen.

Ist SHA-1 noch sicher?

Für Sicherheit (Signaturen, Zertifikate): nein. Ein Kollisionsangriff wurde 2017 demonstriert. Für Nicht-Sicherheits-Verwendungen (Prüfsummen, Cache-Keys, Git): ja. Der Angriff kostet ~$100K an Rechenleistung und erfordert ein sehr spezifisches Szenario, das auf alltägliche Prüfsummen-Nutzung nicht zutrifft.

Tipps und verwandte Workflows

  • Ein sicheres Passwort zum Hashen brauchst du? Der Passwort-Generator.
  • Eindeutige Bezeichner zusammen mit deinen Hashes erstellen? Schau dir den UUID-Generator.
  • Hash-Ausgabe für sichere URL-Übertragung kodieren? Dafür den Base64-Encoder.
  • JSON mit Hash-Werten lesbar formatieren? Ab in den JSON-Formatierer.