Generatore di Hash PBKDF2
Genera e verifica hash di password PBKDF2-SHA256 nel browser.
Usa PBKDF2-SHA256 con Web Crypto API. Formato: hex_salt:hex_hash
Informazioni sullo strumento
PBKDF2 (Password-Based Key Derivation Function 2) è un algoritmo crittografico progettato per rafforzare le password applicando un processo computazionalmente intensivo—esegue l'hash della tua password ripetutamente (migliaia o milioni di volte) con un salt casuale, rendendo estremamente lento e costoso craccarlo utilizzando attacchi di forza bruta. A differenza delle semplici funzioni hash che sono veloci e vulnerabili agli attacchi accelerati da GPU, PBKDF2 è costruito specificamente per la sicurezza delle password: il numero di iterazioni può essere regolato nel tempo mentre l'hardware diventa più veloce, mantenendo l'algoritmo resistente alle minacce future. Questo strumento basato su browser ti consente di generare e verificare hash PBKDF2-SHA256 completamente offline, senza inviare le tue password a nessun server.
Per generare un hash, inserisci semplicemente la tua password, regola il numero di iterazioni (valori più alti = più lento ma più sicuro; 100.000 è un valore predefinito solido per i sistemi moderni), seleziona la tua lunghezza di salt (16 byte è standard) e fai clic su 'Genera Hash'. Lo strumento produce un hash nel formato hex_salt:hex_hash, che puoi copiare e archiviare in modo sicuro. Per verificare una password rispetto a un hash archiviato, passa alla scheda 'Verifica', incolla la stringa hash, inserisci la password candidata e fai clic su 'Verifica'—lo strumento ti dirà se corrisponde. Questo è ideale per sviluppatori che implementano la verifica delle password nelle applicazioni, professionisti della sicurezza che testano la forza delle password o chiunque abbia bisogno di capire come funziona l'hash delle password.
La forza dei tuoi hash dipende dal numero di iterazioni: NIST raccomanda almeno 210.000 iterazioni a partire dal 2024, sebbene tu possa vedere sistemi più vecchi che utilizzano 10.000 o 50.000. Ricorda che PBKDF2 è solo forte quanto la tua password—utilizza passphrase di almeno 12 caratteri con maiuscole, minuscole, numeri e simboli. Nota anche che PBKDF2 è stato in gran parte sostituito da algoritmi più recenti come Argon2 nei nuovi sistemi, ma rimane ampiamente utilizzato e supportato nell'infrastruttura esistente. Per l'archiviazione a lungo termine della password in produzione, considera di consultare le linee guida OWASP e di adattare i numeri di iterazioni man mano che l'hardware si evolve.
Domande Frequenti
Implementazione del Codice
import bcrypt
# Hash a password (cost factor 12)
password = "my_secure_password"
hashed = bcrypt.hashpw(password.encode(), bcrypt.gensalt(rounds=12))
print("Hash:", hashed.decode())
# $2b$12$...
# Verify a password
is_valid = bcrypt.checkpw(password.encode(), hashed)
print("Valid:", is_valid) # True
is_invalid = bcrypt.checkpw(b"wrong_password", hashed)
print("Invalid:", is_invalid) # False
# The salt is embedded in the hash — no need to store it separately
# Always use checkpw() for comparison (constant-time)Comments & Feedback
Comments are powered by Giscus. Sign in with GitHub to leave a comment.