パスワードハッシュ生成ツール
BcryptやPBKDF2などのパスワードハッシュアルゴリズムを使用して、セキュアなパスワードハッシュを生成します。
入力パスワード
生成されたハッシュ
パスワードを入力して「ハッシュを生成」ボタンを押すと、セキュアなハッシュが生成されます。本番環境では必ずサーバー側でハッシュ化を行ってください。
このツールの使い方
- アルゴリズム選択: ハッシュアルゴリズム(Bcryptを推奨)を選択します
- パスワード入力: ハッシュ化したいパスワードを入力します
- コスト設定: コストファクター(rounds)を設定します(推奨: 10-12)
- ハッシュ生成: 「ハッシュを生成」ボタンを押すとハッシュが生成されます
- 結果: コピーボタンでハッシュをコピーできます
このツールの特徴
- 完全ブラウザ内完結: パスワードはサーバーに送信されず、すべてブラウザ内で処理されます
- セキュアなアルゴリズム: Bcrypt、PBKDF2など、パスワード保存に適したアルゴリズムに対応
- 横並びレイアウト: 入力とハッシュを並べて表示し、確認しやすい
- 調整可能なコスト: セキュリティレベルに応じてコストファクターを調整可能
- 処理時間表示: ハッシュ生成にかかった時間を表示し、パフォーマンスを確認
- パスワード表示切替: パスワードの表示・非表示を切り替え可能
- 完全無料: 登録不要で今すぐ使えます
- レスポンシブ対応: スマホ・タブレットでは縦並びに切り替わります
パスワードハッシュとは
パスワードハッシュは、パスワードを一方向関数で変換した文字列です。元のパスワードに戻すことはできないため、データベースに保存する際の安全性が高まります。
重要なポイント:
- 一方向性: ハッシュからパスワードを復元することはできません
- 決定性: 同じパスワードは同じハッシュになります(ソルトが同じ場合)
- ソルト付き: BcryptやPBKDF2は自動的にソルトを追加し、レインボーテーブル攻撃を防ぎます
- 計算コスト: 意図的に計算時間がかかるように設計され、ブルートフォース攻撃を困難にします
各アルゴリズムについて
Bcrypt(推奨):
- 現在最も広く使用されているパスワードハッシュアルゴリズム
- 自動的にソルトを生成し、ハッシュに含めます
- コストファクターで計算量を調整可能
- 推奨コスト: 10-12(値が大きいほどセキュアですが処理時間が増加)
PBKDF2-SHA256:
- NIST(米国標準技術研究所)が推奨するアルゴリズム
- 多くのプラットフォームで標準サポートされています
- 反復回数を調整してセキュリティレベルを変更可能
- 推奨反復回数: 100,000回以上
SHA-512(非推奨):
- 高速なハッシュアルゴリズムですが、パスワード保存には不適切
- ソルトなし、低コストのため、ブルートフォース攻撃に脆弱
- 新規開発では使用しないでください
- 比較・学習目的のみでの使用を推奨
Argon2について:
Argon2は2015年のPassword Hashing Competitionで優勝した最新のアルゴリズムですが、ブラウザの標準APIでは直接サポートされていません。サーバー側での実装を推奨します。
セキュリティのベストプラクティス
- サーバー側でハッシュ化: 本番環境では必ずサーバー側でハッシュ化を行ってください
- ソルトの使用: Bcrypt、PBKDF2などソルト対応アルゴリズムを使用してください
- 適切なコスト: セキュリティと性能のバランスを考慮してコストを設定してください
- 定期的な見直し: ハードウェアの進化に応じて、コストファクターを定期的に見直してください
- HTTPSの使用: パスワードの送信時は必ずHTTPSを使用してください
- レート制限: ログイン試行回数を制限し、ブルートフォース攻撃を防いでください
注意点
- 入力内容はブラウザ上でのみ処理され、サーバーには保存されません
- このツールは開発・学習・テスト目的での利用を想定しています
- 本番環境では必ずサーバー側でパスワードハッシュを生成してください
- ブラウザ上でのハッシュ化は、JavaScriptが無効化されている場合やコードが改ざんされた場合に脆弱性が生じる可能性があります
- コストファクターが大きいと処理に時間がかかります(特にモバイル端末)
- このツールのBcrypt実装は簡易版であり、本物のBcryptとは完全互換ではありません