Wie Sie MD5-, SHA-256- und andere Hashes erzeugen
Hashing wandelt jede Eingabe — ein Passwort, eine Datei, eine Nachricht — in eine Zeichenkette fester Länge um. Dieselbe Eingabe ergibt immer denselben Hash, doch schon eine winzige Änderung an der Eingabe erzeugt einen völlig anderen Hash. Damit ist Hashing unverzichtbar für Integritätsprüfung, Passwortspeicherung und digitale Signaturen.
Wie Hashing funktioniert
Eine Hash-Funktion nimmt eine Eingabe beliebiger Größe und erzeugt eine Ausgabe fester Größe:
| Eingabe | SHA-256-Hash (erste 16 Zeichen) |
|---|---|
| hello | 2cf24dba5fb0a30e... |
| Hello | 185f8db32271fe25... |
| hello! | ce06092fb948d9ff... |
Beachten Sie, dass das Ändern eines einzigen Zeichens (kleines h zu großem H) oder das Hinzufügen eines Zeichens den Hash komplett verändert. Das nennt sich Avalanche-Effekt.
Übliche Hash-Algorithmen
| Algorithmus | Länge | Status | Verwenden für |
|---|---|---|---|
| MD5 | 32 Zeichen | Gebrochen (unsicher) | Legacy-Prüfsummen, sicherheitsunkritische Zwecke |
| SHA-1 | 40 Zeichen | Gebrochen (unsicher) | Nur Legacy-Systeme |
| SHA-256 | 64 Zeichen | Sicher | Dateiintegrität, digitale Signaturen |
| SHA-512 | 128 Zeichen | Sicher | Anwendungen mit hohem Sicherheitsbedarf |
SHA-256 ist der aktuelle Standard für die meisten Zwecke. MD5 und SHA-1 sollten nur dort verwendet werden, wo Legacy-Systeme sie verlangen.
So generieren Sie einen Hash
- Algorithmus wählen — wählen Sie MD5, SHA-1, SHA-256, SHA-384 oder SHA-512. Verwenden Sie SHA-256, wenn kein konkreter Grund für etwas anderes spricht.
- Text eingeben oder Datei hochladen — tippen oder fügen Sie Text ein oder wählen Sie eine Datei zum Hashen aus.
- Hash kopieren — das Ergebnis ist eine Hex-Zeichenkette, die Sie zur Verifikation, Speicherung oder zum Vergleich verwenden können.
Praktische Anwendungen
Dateiintegritätsprüfung — laden Sie eine Datei herunter und vergleichen Sie deren Hash mit dem offiziellen Hash des Herausgebers. Stimmen sie überein, ist die Datei authentisch und unbeschädigt.
Passwortspeicherung — Anwendungen speichern Hashes von Passwörtern, nicht die Passwörter selbst. Bei der Anmeldung wird Ihre Eingabe gehasht und mit dem gespeicherten Hash verglichen.
Datendeduplizierung — hashen Sie große Dateien, um schnell festzustellen, ob zwei Dateien identisch sind, ohne sie Byte für Byte zu vergleichen.
HMAC für API-Sicherheit — verwenden Sie HMAC (Hash mit geheimem Schlüssel), um API-Anfragen zu signieren und sicherzustellen, dass die Anfrage unterwegs nicht manipuliert wurde.
Tipps
- SHA-256 als Standard verwenden — er ist sicher, breit unterstützt und die Standardempfehlung für neue Projekte.
- MD5 niemals für Sicherheit verwenden — MD5-Kollisionen (verschiedene Eingaben mit demselben Hash) lassen sich in Sekunden erzeugen. Es ist akzeptabel für nicht-sicherheitsrelevante Prüfsummen, aber nicht für alles, wo Integrität zählt.
- Passwort-Hashes salzen — ein zufälliges Salt vor dem Hashen verhindert Rainbow-Table-Angriffe. Verwenden Sie in Produktion bcrypt oder Argon2 für Passwort-Hashing.
- Datei-Hashing läuft lokal — die Datei wird in Ihrem Browser verarbeitet, sodass selbst große Dateien Ihr Gerät nie verlassen.
Häufig gestellte Fragen
Was ist der Unterschied zwischen MD5, SHA-1 und SHA-256?
MD5 erzeugt einen 128-Bit-Hash (32 Hex-Zeichen), SHA-1 160 Bit (40 Zeichen) und SHA-256 256 Bit (64 Zeichen). MD5 und SHA-1 gelten kryptografisch für Sicherheitszwecke als gebrochen. SHA-256 ist derzeit sicher und wird für Integritätsprüfung und Sicherheitsanwendungen empfohlen.
Kann man einen Hash umkehren, um die ursprünglichen Daten zu erhalten?
Nein. Hash-Funktionen sind per Design Einwegfunktionen. Ein Hash lässt sich mathematisch nicht in seine Eingabe zurückrechnen. Allerdings finden sich gängige Passwörter in vorberechneten Lookup-Tabellen (Rainbow-Tabellen) — daher sollten Passwörter vor dem Hashen mit Salt versehen werden.
Was ist HMAC?
HMAC (Hash-based Message Authentication Code) kombiniert eine Hash-Funktion mit einem geheimen Schlüssel. Es prüft sowohl die Datenintegrität als auch die Authentizität — beweist, dass die Daten nicht manipuliert wurden und von jemandem stammen, der das Geheimnis kennt.
Werden meine Daten beim Erzeugen von Hashes an einen Server gesendet?
Nein. Sämtliches Hashing läuft in Ihrem Browser über die Web Crypto API. Ihre Texte und Dateien verlassen Ihr Gerät nie.