PBKDF2 हैश जेनरेटर

मुफ़्त ऑनलाइन PBKDF2 हैश जेनरेटर टूल। 100% स्थानीय प्रसंस्करण — आपका डेटा कभी आपके डिवाइस से नहीं जाता।

General
Password Hashing / KDF
Specialized
Deprecated
bytes
आउटपुट

परिणाम यहां प्रदर्शित होगा...

इनपुट हैश की गणना करें

Usage Guide

PBKDF2 के बारे में

PBKDF2 (पासवर्ड-आधारित की डेरिवेशन फ़ंक्शन 2) एक की डेरिवेशन फ़ंक्शन है जिसे RFC 8018 (PKCS#5) और NIST SP 800-132 में मानकीकृत किया गया है। एक साधारण हैश फ़ंक्शन के विपरीत, PBKDF2 को विशेष रूप से एक छद्म-यादृच्छिक फ़ंक्शन (HMAC-SHA256 या HMAC-SHA512) को लाखों बार लागू करके पासवर्ड से एक क्रिप्टोग्राफ़िक कुंजी प्राप्त करने के लिए डिज़ाइन किया गया है। यह ब्रूट-फोर्स अटैक को कम्प्यूटेशनल रूप से महंगा बनाता है। PBKDF2 FIPS 140-2 अनुपालक है और LUKS डिस्क एन्क्रिप्शन, WPA2/WPA3 वाई-फाई, iOS/Android सुरक्षित स्टोरेज और पासवर्ड मैनेजर में व्यापक रूप से उपयोग किया जाता है।

FIPS 140-2 अनुपालक: PBKDF2 एकमात्र पासवर्ड-आधारित KDF है जो FIPS 140-2 और NIST SP 800-132 के तहत अनुमोदित है — यह अमेरिकी सरकार, स्वास्थ्य (HIPAA) और वित्त (PCI-DSS) वातावरण के लिए अनिवार्य विकल्प है। OWASP 2023 सिफारिश करता है PBKDF2-HMAC-SHA256 के लिए 6,00,000 पुनरावृत्तियाँ और PBKDF2-HMAC-SHA512 के लिए 2,10,000।

उपयोग के चरण

यह टूल दो ऑपरेशन सपोर्ट करता है: की डेरिव करना (एन्क्रिप्ट मोड) और पासवर्ड सत्यापित करना (डिक्रिप्ट मोड):

1. डेरिवेशन मोड (एन्क्रिप्ट)'एन्क्रिप्ट' मोड चुनें, पासवर्ड दर्ज करें, पैरामीटर कॉन्फ़िगर करें (एल्गोरिदम, पुनरावृत्तियाँ, की लंबाई, सॉल्ट), और 'हैश कैलकुलेट करें' पर क्लिक करें
2. आउटपुट प्राप्त करेंपरिणाम एक पूर्ण हैश स्ट्रिंग है: {पुनरावृत्तियाँ}:{एल्गोरिदम}:{सॉल्ट_base64}:{डेराइव्ड_की_hex}
3. सत्यापन मोड (डिक्रिप्ट)'डिक्रिप्ट' मोड चुनें और दर्ज करें: पासवर्ड|{पुनरावृत्तियाँ}:{एल्गोरिदम}:{सॉल्ट_base64}:{डेराइव्ड_की_hex}
4. परिणाम जांचेंपासवर्ड मेल खाने पर '✓ Password verified' और न मिलने पर त्रुटि संदेश दिखाता है
5. स्वचालित सॉल्टसॉल्ट फील्ड खाली छोड़ने पर टूल स्वचालित रूप से 16-बाइट क्रिप्टोग्राफ़िक रैंडम सॉल्ट जनरेट करता है
गोपनीयता सुरक्षा: सभी PBKDF2 गणनाएं पूरी तरह से आपके ब्राउज़र में चलती हैं। कोई डेटा सर्वर को नहीं भेजा जाता — पूरी तरह ऑफ़लाइन प्रोसेसिंग।

पैरामीटर गाइड

PBKDF2 के चार मुख्य पैरामीटर हैं जो डेराइव्ड की की सुरक्षा और आउटपुट को नियंत्रित करते हैं:

हैश एल्गोरिदमSHA-256 (डिफ़ॉल्ट) या SHA-512 — SHA-512 अधिक सुरक्षा मार्जिन देता है लेकिन कम पुनरावृत्तियों की आवश्यकता है (210k बनाम 600k)
पुनरावृत्तियाँHMAC राउंड की संख्या। OWASP 2023: SHA-256 के लिए 6,00,000, SHA-512 के लिए 2,10,000। अधिक = धीमा = ब्रूट-फोर्स के विरुद्ध अधिक सुरक्षित
की लंबाईआउटपुट लंबाई बाइट्स में (1–256)। डिफ़ॉल्ट 32 बाइट्स (256 बिट्स), AES-256 की डेरिवेशन के लिए उपयुक्त
सॉल्टBase64-एन्कोडेड यादृच्छिक मान। खाली छोड़ने पर स्वचालित रूप से जनरेट होता है (16 यादृच्छिक बाइट्स)। बाद में सत्यापन के लिए डेराइव्ड की के साथ संग्रहित करना अनिवार्य
पुनरावृत्ति चेतावनी: बहुत कम पुनरावृत्तियाँ PBKDF2 को गंभीर रूप से कमज़ोर करती हैं। आधुनिक GPU प्रति सेकंड लाखों PBKDF2-SHA256 पुनरावृत्तियाँ कंप्यूट कर सकते हैं। हमेशा OWASP की नवीनतम सिफारिशों का पालन करें (SHA-256 के लिए 600k) और समय के साथ बढ़ाएं। पासवर्ड स्टोरेज के लिए कभी भी 1,00,000 से कम का उपयोग न करें।

PBKDF2 बनाम Argon2 / bcrypt

अन्य पासवर्ड हैशिंग एल्गोरिदम की तुलना में PBKDF2 कब चुनें:

PBKDF2FIPS 140-2 अनुपालक, मानकीकृत, व्यापक समर्थन। मेमोरी-हार्ड नहीं — GPU द्वारा पैरेललाइज़ेबल। सुरक्षा के लिए बहुत अधिक पुनरावृत्तियाँ (≥600k) आवश्यक
Argon2idआधुनिक (2015), मेमोरी-हार्ड (GPU/ASIC प्रतिरोधी), सामान्य पासवर्ड स्टोरेज के लिए OWASP प्राथमिकता। FIPS-अनुमोदित नहीं
bcryptक्लासिक (1999), कम्प्यूटेशन-हार्ड (~4KB मेमोरी), GPU-प्रतिरोधी लेकिन Argon2 से कम। की डेरिवेशन के लिए उपयुक्त नहीं
scryptArgon2 की तरह मेमोरी-हार्ड, Bitcoin की डेरिवेशन और LUKS2 में उपयोग। FIPS-अनुमोदित भी नहीं
PBKDF2 कब चुनें: PBKDF2 का उपयोग तब करें जब FIPS 140-2 अनुपालन आवश्यक हो, या जहाँ Argon2 उपलब्ध नहीं हो (जैसे legacy सिस्टम, एम्बेडेड डिवाइस)। अन्य सभी नए प्रोजेक्ट के लिए, बेहतर मेमोरी-हार्डनेस के लिए Argon2id को प्राथमिकता दें।

FAQ

Q: PBKDF2 का आउटपुट फॉर्मेट क्या है?

A: यह टूल एक स्व-युक्त हैश स्ट्रिंग आउटपुट करता है: {पुनरावृत्तियाँ}:{एल्गोरिदम}:{सॉल्ट_base64}:{डेराइव्ड_की_hex}
उदाहरण: 600000:sha256:abc123...==:d4e5f6...
घटक:
पुनरावृत्तियाँ: उपयोग किए गए HMAC राउंड की संख्या (जैसे 600000)।
एल्गोरिदम: हैश फ़ंक्शन (sha256 या sha512)।
सॉल्ट_base64: Base64-एन्कोडेड यादृच्छिक सॉल्ट।
डेराइव्ड_की_hex: Hex-एन्कोडेड डेराइव्ड की।
सत्यापन के लिए, डिक्रिप्ट मोड में दर्ज करें: पासवर्ड|{पूर्ण हैश स्ट्रिंग}

Q: PBKDF2 को 6,00,000 पुनरावृत्तियों की क्यों जरूरत है?

A: PBKDF2 मेमोरी-हार्ड नहीं है — इसे GPU पर सस्ते में पैरेललाइज़ किया जा सकता है। एक आधुनिक GPU प्रति सेकंड लगभग 1–2 अरब PBKDF2-SHA256 पुनरावृत्तियाँ कंप्यूट कर सकता है। 6,00,000 पुनरावृत्तियों पर प्रति हैश, एक GPU अभी भी प्रति सेकंड ~1,600 हैश प्रयास कर सकता है। उच्च पुनरावृत्ति संख्या प्राथमिक रक्षा तंत्र है — यह सीधे हमलावर की लागत को गुणा करती है। OWASP 2023 SHA-256 के लिए 6,00,000 को न्यूनतम निर्धारित करता है; SHA-512 के लिए 2,10,000 उपयोग करें।

Q: PBKDF2 और bcrypt या Argon2 में क्या अंतर है?

A: PBKDF2: केवल कम्प्यूटेशन-हार्ड, मेमोरी-हार्ड नहीं। GPU-पैरेललाइज़ेबल। FIPS 140-2 अनुमोदित। बहुत अधिक पुनरावृत्तियों की आवश्यकता। FIPS-विनियमित वातावरण के लिए आदर्श। bcrypt: कम्प्यूटेशन-हार्ड, ~4KB मेमोरी, मध्यम GPU प्रतिरोध। 72-बाइट पासवर्ड सीमा। मनमानी लंबाई की कुंजी नहीं बना सकता। Argon2id: मेमोरी-हार्ड, GPU/ASIC प्रतिरोधी, आधुनिक OWASP प्राथमिकता। FIPS-अनुमोदित नहीं। समकक्ष सुरक्षा पर प्रदर्शन: मेमोरी हार्डनेस के कारण Argon2 समान प्रभावी सुरक्षा स्तर पर PBKDF2 से काफी तेज़ है।

Q: क्या PBKDF2 FIPS 140-2 अनुपालक है?

A: हाँ। PBKDF2 NIST SP 800-132 में स्पष्ट रूप से परिभाषित है और FIPS 140-2 के तहत अनुमोदित है। यह इसे US federal agencies, ठेकेदारों, HIPAA के अधीन स्वास्थ्य प्रणालियों और PCI-DSS आवश्यकताओं वाले वित्तीय अनुप्रयोगों के लिए अनिवार्य विकल्प बनाता है। Argon2 और scrypt FIPS-अनुमोदित नहीं हैं। यदि FIPS अनुपालन आवश्यक है, तो PBKDF2 वर्तमान में एकमात्र व्यापक रूप से उपलब्ध विकल्प है। सुनिश्चित करें कि आपका PBKDF2 कार्यान्वयन FIPS-सत्यापित क्रिप्टोग्राफ़िक मॉड्यूल का उपयोग करता है।

Q: सॉल्ट क्यों महत्वपूर्ण है और क्या इसे संग्रहित करना अनिवार्य है?

A: सॉल्ट एक यादृच्छिक मान है जो हैशिंग से पहले पासवर्ड में जोड़ा जाता है ताकि दो समान पासवर्ड अलग-अलग डेराइव्ड कुंजियाँ उत्पन्न करें। सॉल्ट के बिना, हमलावर कई हैश को एक साथ क्रैक करने के लिए पूर्व-गणित Rainbow Tables का उपयोग कर सकते हैं। सॉल्ट को गुप्त रखने की आवश्यकता नहीं है — इसे केवल प्रति पासवर्ड अद्वितीय होना चाहिए। सॉल्ट आउटपुट स्ट्रिंग में शामिल है और सत्यापन के दौरान समान हैश पुनः उत्पन्न करने के लिए डेराइव्ड की के साथ संग्रहित करना अनिवार्य है। पासवर्ड के बीच सॉल्ट का पुनः उपयोग कभी न करें।

Q: AES की डेरिवेशन के लिए PBKDF2 का उपयोग कैसे करें?

A: AES-256 की सीधे डेराइव करने के लिए की लंबाई को 32 बाइट्स (256 बिट्स) पर सेट करें। SHA-256 के साथ 6,00,000 पुनरावृत्तियों का उपयोग करें। सॉल्ट को अपने एन्क्रिप्टेड डेटा के साथ संग्रहित करें। डिक्रिप्शन के दौरान, समान पासवर्ड, सॉल्ट, पुनरावृत्तियों और एल्गोरिदम के साथ की फिर से डेराइव करें, फिर इसका उपयोग AES-256-GCM से डिक्रिप्ट करने के लिए करें। यही LUKS डिस्क एन्क्रिप्शन, iOS डेटा प्रोटेक्शन और कई पासवर्ड मैनेजर काम करते हैं। डेराइव्ड की निर्धारक है — समान इनपुट हमेशा समान की उत्पन्न करते हैं।

Use Cases

अनुशंसित: FIPS-अनुपालक पासवर्ड स्टोरेज

FIPS 140-2, NIST SP 800-131A, HIPAA या PCI-DSS के अधीन संगठनों को अनुमोदित क्रिप्टोग्राफ़िक एल्गोरिदम का उपयोग करना होगा। HMAC-SHA256 या HMAC-SHA512 के साथ PBKDF2 एकमात्र व्यापक रूप से उपलब्ध पासवर्ड KDF है जो इन आवश्यकताओं को पूरा करती है। SHA-256 के लिए कम से कम 6,00,000 पुनरावृत्तियों का उपयोग करें और पूर्ण आउटपुट स्ट्रिंग संग्रहित करें। विनियमित वातावरण में Argon2id की जगह PBKDF2 चुनने का यही मुख्य कारण है।

Recommended Configuration:
  • ✅ PBKDF2-HMAC-SHA256 (≥6,00,000 पुनरावृत्तियाँ) — FIPS अनुपालक
  • ✅ PBKDF2-HMAC-SHA512 (≥2,10,000 पुनरावृत्तियाँ) — FIPS अनुपालक
  • ❌ Argon2 / scrypt — FIPS 140-2 अनुमोदित नहीं
  • ❌ bcrypt — FIPS 140-2 अनुमोदित नहीं
अनुशंसित: डिस्क एन्क्रिप्शन की डेरिवेशन (LUKS)

LUKS (Linux Unified Key Setup) डिफ़ॉल्ट रूप से PBKDF2 (LUKS1) और PBKDF2/Argon2 (LUKS2) का उपयोग पासफ्रेज़ से वॉल्यूम एन्क्रिप्शन की डेराइव करने के लिए करता है। PBKDF2 उपयोगकर्ता के पासवर्ड से एक निश्चित-लंबाई की (AES-256 के लिए 32 बाइट्स) डेराइव करता है, जिसका उपयोग फिर LUKS हेडर में संग्रहित मास्टर की को एन्क्रिप्ट करने के लिए किया जाता है। WPA2/WPA3 वाई-फाई सुरक्षा भी वाई-फाई पासवर्ड से Pairwise Master Key (PMK) डेराइव करने के लिए PBKDF2 का उपयोग करती है।

Recommended Configuration:
  • ✅ PBKDF2-HMAC-SHA512 (LUKS1 मानक)
  • ✅ Argon2id (LUKS2 प्राथमिकता — बेहतर मेमोरी हार्डनेस)
  • 💡 पुनरावृत्तियाँ इतनी ऊँची सेट करें कि लक्ष्य हार्डवेयर पर डेरिवेशन 0.5–2 सेकंड ले
  • 💡 सॉल्ट को डिस्क/हेडर मेटाडेटा में संग्रहित करें, कभी अलग से नहीं
स्वीकार्य: Legacy सिस्टम में पासवर्ड सत्यापन

कई मौजूदा सिस्टम (पुराने Django संस्करण, .NET Membership, Java PBKDF2WithHmacSHA1) पहले से PBKDF2 हैश संग्रहित करते हैं। इन सिस्टम के लिए PBKDF2 का उपयोग जारी रखें और हार्डवेयर में सुधार के साथ धीरे-धीरे पुनरावृत्ति संख्या बढ़ाएं। सत्यापन के लिए संग्रहित पुनरावृत्ति संख्या का उपयोग करें (हैश स्ट्रिंग में एम्बेड है) और नए पंजीकरण और पासवर्ड परिवर्तन के लिए वर्तमान OWASP सिफारिशों को अपडेट करें।

Recommended Configuration:
  • ✅ PBKDF2 (मौजूदा हैश के लिए रखें — माइग्रेशन आवश्यक नहीं)
  • ✅ नए हैश के लिए पुनरावृत्तियाँ वर्तमान OWASP न्यूनतम तक बढ़ाएं
  • 💡 अगले लॉगिन पर पुनरावृत्ति संख्या को पारदर्शी रूप से अपग्रेड करें
  • 💡 FIPS की आवश्यकता नहीं होने पर नए प्रोजेक्ट के लिए Argon2id पर माइग्रेट करने पर विचार करें
स्वीकार्य: एक पासवर्ड से कई कुंजियाँ डेराइव करना

PBKDF2 मनमानी लंबाई की कुंजियाँ डेराइव कर सकता है, जो तब उपयोगी होता है जब एक मास्टर पासवर्ड से कई कुंजियों की आवश्यकता होती है (जैसे, एन्क्रिप्शन के लिए एक, MAC ऑथेंटिकेशन के लिए दूसरी)। स्वतंत्र कुंजियाँ डेराइव करने के लिए अलग-अलग सॉल्ट या इंडेक्स सफ़िक्स का उपयोग करें। की लंबाई को 64 बाइट्स पर सेट करें और आउटपुट को दो 32-बाइट कुंजियों में विभाजित करें, या अलग-अलग सॉल्ट के साथ PBKDF2 को दो बार चलाएं।

Recommended Configuration:
  • ✅ डेराइव्ड की उद्देश्य के अनुसार अलग-अलग सॉल्ट का उपयोग करें
  • ✅ प्रारंभिक PBKDF2 डेरिवेशन के बाद HKDF का उपयोग करें
  • ❌ विभिन्न की उद्देश्यों के लिए कभी भी समान सॉल्ट का पुनः उपयोग न करें
  • 💡 ऑथेंटिकेटेड एन्क्रिप्शन के लिए AES-256-GCM के साथ संयोजित करें
अनुशंसित नहीं: नए प्रोजेक्ट में Argon2 की जगह

यदि आप बिना FIPS आवश्यकताओं के एक नया प्रोजेक्ट शुरू कर रहे हैं, तो Argon2id की तुलना में PBKDF2 कमज़ोर विकल्प है। PBKDF2 मेमोरी-हार्ड नहीं है, जिसका अर्थ है कि GPU सस्ते में अटैक पैरेललाइज़ कर सकते हैं। 6,00,000 पुनरावृत्तियों पर भी, एक हाई-एंड GPU प्रति सेकंड हजारों PBKDF2 अनुमान लगा सकता है। Argon2id डिफ़ॉल्ट पैरामीटर (47MB मेमोरी, 1 पुनरावृत्ति) के साथ समान वॉल-क्लॉक समय प्राप्त करता है जबकि मेमोरी आवश्यकता GPU पैरेललाइज़ेशन को पूरी तरह रोकती है।

Recommended Configuration:
  • ❌ जब Argon2id उपलब्ध हो तो नए प्रोजेक्ट के लिए PBKDF2 से बचें
  • ✅ Argon2id (मेमोरी-हार्ड, OWASP प्राथमिकता)
  • ✅ scrypt (मेमोरी-हार्ड, व्यापक रूप से उपलब्ध)
  • 💡 PBKDF2 केवल तब प्राथमिकता दी जाती है जब FIPS अनुपालन अनिवार्य हो
अनुशंसित नहीं: सामान्य डेटा हैशिंग

PBKDF2 एक की डेरिवेशन फ़ंक्शन है, सामान्य-उद्देश्य हैश फ़ंक्शन नहीं। यह जानबूझकर धीमा है और कभी भी फ़ाइल सामग्री, चेकसम, संदेश प्रमाणीकरण या डी-डुप्लीकेशन के लिए हैशिंग के लिए उपयोग नहीं किया जाना चाहिए। डेटा अखंडता के लिए, SHA-256 या SHA-512 का उपयोग करें। संदेश प्रमाणीकरण के लिए, HMAC-SHA256 का उपयोग करें। PBKDF2 आउटपुट को सामान्य हैश के रूप में उपयोग करने से कोई सुरक्षा लाभ के बिना महत्वपूर्ण CPU चक्र बर्बाद होंगे।

Recommended Configuration:
  • ❌ फ़ाइल चेकसम या डेटा अखंडता के लिए PBKDF2 का उपयोग न करें
  • ❌ संदेश प्रमाणीकरण के लिए PBKDF2 का उपयोग न करें (HMAC-SHA256 का उपयोग करें)
  • ✅ सामान्य डेटा हैशिंग के लिए SHA-256 / SHA-512
  • ✅ प्रमाणित संदेश अखंडता के लिए HMAC-SHA256

सर्वोत्तम प्रथाएं सारांश

  • FIPS-अनुपालक वातावरण के लिए PBKDF2-HMAC-SHA256 (≥6,00,000 पुनरावृत्तियाँ) या HMAC-SHA512 (≥2,10,000) का उपयोग करें। पुनरावृत्तियों, एल्गोरिदम और सॉल्ट सहित पूर्ण हैश स्ट्रिंग संग्रहित करें।
  • FIPS आवश्यकताओं के बिना नए प्रोजेक्ट के लिए Argon2id को प्राथमिकता दें — यह मेमोरी-हार्ड है और तुलनीय प्रदर्शन के साथ GPU अटैक के लिए काफी अधिक प्रतिरोधी है।
  • हमेशा प्रति पासवर्ड एक अद्वितीय यादृच्छिक सॉल्ट का उपयोग करें (इस टूल द्वारा स्वचालित रूप से जनरेट)। एप्लिकेशन कोड में सॉल्ट का पुनः उपयोग या हार्डकोड कभी न करें।
  • हार्डवेयर में सुधार के साथ समय के साथ पुनरावृत्ति संख्या बढ़ाएं। पुनरावृत्ति संख्या हैश स्ट्रिंग में संग्रहित होती है, इसलिए पुराने और नए मान सह-अस्तित्व में हो सकते हैं।
  • PBKDF2 का उपयोग केवल लॉगिन या की सेटअप पर करें — कभी भी हर अनुरोध पर नहीं। उच्च-आवृत्ति संचालन के लिए प्रमाणीकरण के बाद टोकन (JWT, सेशन) जारी करें।

चर्चा और प्रतिक्रिया

0 टिप्पणियां
मैं