Was ist Zufalls-Token-Generator?

Erzeugen Sie zufällige Token in den Formaten Hex, Base64, alphanumerisch, URL-sicher, numerisch, mit Symbolen oder mit einem vollständig eigenen Zeichensatz mithilfe der Web Crypto API. Nutzen Sie sie für API-Schlüssel, Sitzungs-Token, CSRF-Token, numerische PINs und OTP-Codes sowie Passwort-Zurücksetzungs-Links, die kryptografische Zufälligkeit erfordern.

Alle Bytes stammen aus crypto.getRandomValues, der gleichen Quelle, mit der der Browser TLS-Schlüssel erzeugt. Wählbar sind 16, 32, 48, 64 oder 128 Rohbytes, und das Entropie-Panel zeigt sofort, wie viel Zufalls-Bits im gewählten Format dabei herauskommen. Es lassen sich bis zu 20 Token auf einmal erzeugen und als .txt für die Stapelverteilung herunterladen.

Anleitung

1. Wählen Sie das Token-Format (Hex, Base64, alphanumerisch, URL-sicher, numerisch, mit Symbolen oder Ihre eigenen Zeichen) und die gewünschte Länge.
2. Klicken Sie auf Generieren, um sofort ein kryptografisch sicheres Zufalls-Token zu erstellen.
3. Kopieren Sie das Token oder erzeugen Sie mehrere Token auf einmal für den Masseneinsatz.

Wann verwenden

• API-Keys, Webhook-Signatur-Secrets oder Service-zu-Service-Tokens ausstellen.
• Passwort-Reset-Links, E-Mail-Bestätigungstoken oder Einmal-Login-URLs erzeugen.
• Test-Fixtures mit realistischen Zufalls-IDs füllen, die nicht kollidieren.

Ergebnis

Erzeugen Sie ein 256-Bit-Hex-Token (64 Zeichen) zur Verwendung als API-Schlüssel: ‚a3f8b2c1d4e5f6…' – mit voller Entropie aus crypto.getRandomValues.

Häufige Fragen

Wie viel Entropie braucht ein API-Key tatsächlich?

128 Bit sind das praktische Minimum für alles Langlebige und liegen weit jenseits jeder Brute-Force-Reichweite. Für Signaturschlüssel oder kryptografische Operationen sind 32 Byte (256 Bit) angemessen. 16 Byte reichen für kurzlebige Session-Tokens.

Worin unterscheiden sich base64 und URL-Safe?

Base64 verwendet + und / sowie =-Padding, was beim Einfügen in URLs oder Dateinamen kaputtgeht. URL-Safe tauscht diese gegen - und _ und lässt das Padding weg. Für Token in Query-String, Pfad oder HTTP-Header eignet sich URL-Safe.

Warum ist die Entropie bei alphanumerisch geringer als bei hex bei gleicher Byte-Anzahl?

Hex und base64 packen die vollen 8 Bit pro Byte direkt in ein Zeichen. Alphanumerisch bildet jedes Byte per Modulo auf eines von 62 Zeichen ab, verliert rund 2 Bit pro Byte und bringt eine kleine Schieflage. Für IDs okay, für Krypto-Secrets schwach.

Geht Math.random() als Fallback, wenn Web Crypto nicht verfügbar ist?

Nein. Math.random() ist ein vorhersagbarer PRNG, ein paar gesehene Ausgaben reichen, um die nächsten zu rekonstruieren. Web Crypto gibt es in jedem Browser ab 2014 und in jedem modernen Node.js. Fehlt es, lieber gar keinen geheimen Wert erzeugen.

Kann derselbe Token zweimal in meiner Anwendung auftauchen?

Bei 16 Byte müsste man rund 2^64 Tokens ausgeben, bevor eine Kollision wahrscheinlich wird (Geburtstagsgrenze). Für jede reale Last bis zu Milliarden Tokens ist die Kollision statistisch ausgeschlossen, eine Unique-Prüfung erübrigt sich.

Ähnliche Tools