Hash-Generator
Text oder eine Datei hashen
SHA-1, SHA-256, SHA-384 und SHA-512 mit Hex- oder Base64-Ausgabe und optionalem HMAC — dazu bcrypt- und Argon2-Passwort-Hashing. Alles wird lokal berechnet — nichts verlässt Ihren Browser.
Ausgabeformat
HMAC optional
Ein Schlüssel schaltet jeden Algorithmus in den schlüsselbasierten HMAC-Modus.
Digests
Passwort-Hashing Argon2 · bcrypt · scrypt · PBKDF2
Langsame, gesalzene Einweg-Hashes zum Speichern von Passwörtern — bei jedem Durchlauf wird ein frisches Zufalls-Salt verwendet. Läuft lokal mit WebAssembly.
Datenschutz zuerst
Lokales Hashing mit der Web Crypto API
Digests werden mit crypto.subtle.digest und crypto.subtle.sign berechnet — der browsereigenen, geprüften Kryptografie. Ihr Text, Ihre Dateien und HMAC-Schlüssel verlassen nie die Seite, es gibt keine Tracker, und das Tool funktioniert nach dem Laden auch offline weiter.
Warum kein MD5?
Browser implementieren MD5 nicht in der Web Crypto API, und es ist kryptografisch gebrochen (praktische Kollisionen). Dieses Tool bietet nur die SHA-Algorithmen an, die die Plattform nativ bereitstellt.
Wie überprüfe ich die Prüfsumme eines Downloads?
Wählen Sie den vom Herausgeber verwendeten Algorithmus (meist SHA-256), wechseln Sie zum Datei-Tab, wählen Sie die Datei und vergleichen Sie den Hex-Digest mit dem veröffentlichten Wert. Ein einziges abweichendes Zeichen bedeutet, dass die Datei nicht übereinstimmt.
Hex oder Base64 — was sollte ich verwenden?
Hex ist das übliche Format für Prüfsummen und unterscheidet nicht zwischen Groß- und Kleinschreibung. Base64 ist kürzer und in HTTP-Headern, JWTs und APIs verbreitet. Die rohen Digest-Bytes sind identisch; nur die Kodierung unterscheidet sich.
Wofür ist HMAC da?
HMAC fügt einen geheimen Schlüssel hinzu, sodass ein Tag sowohl belegt, dass die Nachricht unverändert ist, als auch, dass sie von jemandem stammt, der den Schlüssel besitzt. Es wird zum Signieren von API-Anfragen, für Webhooks und für die Integrität von Cookies/Sitzungen verwendet.
bcrypt oder Argon2 für Passwörter?
Beide sind langsame, gesalzene Passwort-Hashes — verwenden Sie für Passwörter niemals reines SHA. bcrypt ist erprobt und allgegenwärtig; erhöhen Sie seinen Kostenfaktor, wenn die Hardware besser wird. Argon2id ist der moderne OWASP-Standard: Seine Speicherkosten (versuchen Sie ≈19 MiB) machen GPU- und ASIC-Cracking teuer. Die kodierte Ausgabe enthält bereits das Salt und die Parameter.