Vérification de hachage Argon2 | Comparer un mot de passe et un hachage encodé
Saisissez un mot de passe et un hachage Argon2 encodé ($argon2id$...) pour vérifier s'ils correspondent. Calcul entièrement local, sans envoi au serveur.
Astuces pour la vérification de hachage Argon2
- Pour la vérification, collez directement le hachage encodé (chaîne commençant par $argon2id$) généré par l'outil Calcul de hachage Argon2.
- Le hachage encodé contient déjà la variante, le coût mémoire, le nombre d'itérations et le sel : il n'est donc pas nécessaire de préciser ces paramètres séparément lors de la vérification.
- Si le format du hachage est invalide (caractères manquants ou saut de ligne parasite lors de la copie, par exemple), un message d'erreur s'affiche : vérifiez que vous avez bien copié le texte intégral.
- En cas de non-correspondance, vérifiez que le mot de passe ne contient pas involontairement une différence de casse ou des espaces superflus en début ou fin de chaîne.
Questions fréquentes
Anecdote — Pourquoi la comparaison de hachages suffit-elle à vérifier un mot de passe ?
La vérification d'un mot de passe peut sembler consister à « comparer directement le mot de passe enregistré avec celui saisi », mais le mécanisme réel est tout autre. Le serveur (ou un traitement côté client comme celui de cet outil) recalcule le hachage du mot de passe saisi avec le même algorithme et le même sel que lors de l'enregistrement initial, puis compare uniquement ce résultat au hachage déjà stocké. Le mot de passe d'origine lui-même n'est jamais l'objet d'une « comparaison » : l'avantage de cette méthode est qu'il suffit de vérifier la correspondance entre deux hachages.
Ce mécanisme fonctionne parce qu'une fonction de hachage comme Argon2 est « déterministe » : avec la même entrée, le même sel et les mêmes paramètres, elle produit toujours la même sortie. La chaîne de hachage encodée (au format $argon2id$v=19$m=...$sel$hachage) intègre déjà le sel et tous les paramètres utilisés lors du calcul initial, si bien qu'il n'est pas nécessaire de les préciser à nouveau lors de la vérification : le hachage seul permet un recalcul complet.
C'est précisément grâce à ces deux propriétés — l'« unidirectionnalité » (impossible de retrouver le mot de passe d'origine à partir du hachage) et le « déterminisme » (une même entrée produit toujours la même sortie) — que les exploitants de services peuvent vérifier une connexion en toute sécurité sans jamais stocker le mot de passe en clair de l'utilisateur. Même en cas de fuite de la base de données, l'attaquant n'obtient que des valeurs de hachage, et avec un algorithme aussi coûteux en calcul qu'Argon2, une attaque par force brute visant à retrouver le mot de passe d'origine prendrait un temps considérable.