Argon2-Hash-Überprüfung | Passwort mit codiertem Hash vergleichen

Prüfen Sie, ob ein Passwort zu einem Argon2-Hash ($argon2id$...) passt. Die Berechnung erfolgt vollständig im Browser, ohne Serverübertragung.


Tipps zur Argon2-Hash-Überprüfung

  • Fügen Sie für die Überprüfung den mit dem Tool Argon2-Hash-Rechner erzeugten codierten Hash (eine Zeichenkette, die mit $argon2id$ beginnt) unverändert ein.
  • Der codierte Hash enthält bereits alle Angaben zu Variante, Speicherkosten, Iterationen und Salt, sodass Sie diese Parameter bei der Überprüfung nicht separat angeben müssen.
  • Bei einem ungültigen Hash-Format (z. B. durch fehlende Zeichen oder eingefügte Zeilenumbrüche beim Kopieren) wird eine Fehlermeldung angezeigt. Prüfen Sie, ob Sie den gesamten Text korrekt kopiert haben.
  • Erhalten Sie das Ergebnis „keine Übereinstimmung", prüfen Sie, ob sich unbeabsichtigt Groß-/Kleinschreibung oder führende bzw. nachgestellte Leerzeichen in das Passwort eingeschlichen haben.

Häufig gestellte Fragen

Bei der Hash-Berechnung wird aus einem Passwort ein neuer Hash-Wert erzeugt, während bei der Überprüfung festgestellt wird, ob ein vorhandener Hash-Wert mit einem Passwort übereinstimmt. Üblicherweise wird der Hash bei der Registrierung erzeugt und gespeichert, während beim Login nur noch die Überprüfung erfolgt.

Diese Meldung erscheint, wenn der eingegebene Hash nicht im korrekten codierten Format vorliegt, das mit $argon2id$, $argon2i$ oder $argon2d$ beginnt. Prüfen Sie, ob beim Kopieren Zeichen verloren gegangen sind oder ob überflüssige Leerzeichen bzw. Zeilenumbrüche enthalten sind.

Häufige Ursachen sind Unterschiede in Groß-/Kleinschreibung, Voll- und Halbbreitenzeichen oder versehentlich eingefügte Leerzeichen am Anfang oder Ende. Da schon ein einziges abweichendes Zeichen zu keiner Übereinstimmung führt, prüfen Sie den ursprünglichen Text noch einmal genau.

Nein. Alle Eingaben werden ausschließlich im Browser mittels WebAssembly verarbeitet und weder an einen Server gesendet noch dort gespeichert.

Nutzen Sie unser ergänzendes Tool Argon2-Hash-Rechner, das alle drei Varianten unterstützt: Argon2id, Argon2i und Argon2d.
ツールくん

Übrigens – warum sich Passwörter allein durch den Vergleich von Hashes überprüfen lassen

Die Passwortüberprüfung wirkt auf den ersten Blick wie ein direkter Vergleich zwischen dem gespeicherten und dem eingegebenen Passwort – tatsächlich funktioniert sie jedoch nach einem ganz anderen Prinzip. Der Server (oder, wie bei diesem Tool, eine clientseitige Verarbeitung) hasht das eingegebene Passwort erneut mit demselben Algorithmus und demselben Salt, das auch bei der Speicherung verwendet wurde, und vergleicht anschließend nur, ob das Ergebnis mit dem gespeicherten Hash-Wert übereinstimmt. Das ursprüngliche Passwort selbst wird dabei kein einziges Mal direkt verglichen – der Vorteil dieses Verfahrens liegt darin, dass ausschließlich zwei Hash-Werte auf Übereinstimmung geprüft werden müssen.

Dieses Prinzip funktioniert, weil Hash-Funktionen wie Argon2 „deterministisch" sind: Bei gleicher Eingabe, gleichem Salt und gleichen Parametern entsteht immer dieselbe Ausgabe. Da der codierte Hash-String (im Format $argon2id$v=19$m=...$salt$hash) bereits das bei der Berechnung verwendete Salt sowie alle Parameter enthält, müssen diese bei der Überprüfung nicht erneut angegeben werden – die vollständige Neuberechnung lässt sich allein anhand des Hash-Strings durchführen.

Erst durch diese beiden Eigenschaften – „Einwegfunktion" (aus dem Hash lässt sich das ursprüngliche Passwort nicht zurückrechnen) und „Determinismus" (gleiche Eingabe ergibt immer gleiche Ausgabe) – können Diensteanbieter die Anmeldung sicher überprüfen, ohne jemals das Klartext-Passwort der Nutzer zu speichern. Selbst wenn eine Datenbank kompromittiert wird, erhalten Angreifer lediglich die Hash-Werte, und bei einem rechenintensiven Algorithmus wie Argon2 würde ein Brute-Force-Angriff zur Wiederherstellung der ursprünglichen Passwörter extrem lange dauern.