Argon2-Hash-Überprüfung | Passwort mit codiertem Hash vergleichen
Prüfen Sie, ob ein Passwort zu einem Argon2-Hash ($argon2id$...) passt. Die Berechnung erfolgt vollständig im Browser, ohne Serverübertragung.
Tipps zur Argon2-Hash-Überprüfung
- Fügen Sie für die Überprüfung den mit dem Tool Argon2-Hash-Rechner erzeugten codierten Hash (eine Zeichenkette, die mit $argon2id$ beginnt) unverändert ein.
- Der codierte Hash enthält bereits alle Angaben zu Variante, Speicherkosten, Iterationen und Salt, sodass Sie diese Parameter bei der Überprüfung nicht separat angeben müssen.
- Bei einem ungültigen Hash-Format (z. B. durch fehlende Zeichen oder eingefügte Zeilenumbrüche beim Kopieren) wird eine Fehlermeldung angezeigt. Prüfen Sie, ob Sie den gesamten Text korrekt kopiert haben.
- Erhalten Sie das Ergebnis „keine Übereinstimmung", prüfen Sie, ob sich unbeabsichtigt Groß-/Kleinschreibung oder führende bzw. nachgestellte Leerzeichen in das Passwort eingeschlichen haben.
Häufig gestellte Fragen
Übrigens – warum sich Passwörter allein durch den Vergleich von Hashes überprüfen lassen
Die Passwortüberprüfung wirkt auf den ersten Blick wie ein direkter Vergleich zwischen dem gespeicherten und dem eingegebenen Passwort – tatsächlich funktioniert sie jedoch nach einem ganz anderen Prinzip. Der Server (oder, wie bei diesem Tool, eine clientseitige Verarbeitung) hasht das eingegebene Passwort erneut mit demselben Algorithmus und demselben Salt, das auch bei der Speicherung verwendet wurde, und vergleicht anschließend nur, ob das Ergebnis mit dem gespeicherten Hash-Wert übereinstimmt. Das ursprüngliche Passwort selbst wird dabei kein einziges Mal direkt verglichen – der Vorteil dieses Verfahrens liegt darin, dass ausschließlich zwei Hash-Werte auf Übereinstimmung geprüft werden müssen.
Dieses Prinzip funktioniert, weil Hash-Funktionen wie Argon2 „deterministisch" sind: Bei gleicher Eingabe, gleichem Salt und gleichen Parametern entsteht immer dieselbe Ausgabe. Da der codierte Hash-String (im Format $argon2id$v=19$m=...$salt$hash) bereits das bei der Berechnung verwendete Salt sowie alle Parameter enthält, müssen diese bei der Überprüfung nicht erneut angegeben werden – die vollständige Neuberechnung lässt sich allein anhand des Hash-Strings durchführen.
Erst durch diese beiden Eigenschaften – „Einwegfunktion" (aus dem Hash lässt sich das ursprüngliche Passwort nicht zurückrechnen) und „Determinismus" (gleiche Eingabe ergibt immer gleiche Ausgabe) – können Diensteanbieter die Anmeldung sicher überprüfen, ohne jemals das Klartext-Passwort der Nutzer zu speichern. Selbst wenn eine Datenbank kompromittiert wird, erhalten Angreifer lediglich die Hash-Werte, und bei einem rechenintensiven Algorithmus wie Argon2 würde ein Brute-Force-Angriff zur Wiederherstellung der ursprünglichen Passwörter extrem lange dauern.