Random String Generator FAQ

Eine sichere Zufallszeichenfolge erfordert drei Elemente: kryptographisch sichere Zufallszahlengenerierung (Verwendung von crypto.getRandomValues() oder gleichwertig, nicht Math.random()), ausreichende Entropie (mindestens 128 Bit für Authentifizierungs-Tokens) und ordnungsgemäße Handhabung (über HTTPS übertragen, bei Bedarf gehashed gespeichert). Die Kombination aus unvorhersagbarer Generierung und angemessener Länge macht Rateangriffe rechnerisch nicht durchführbar.

Die Länge hängt von Ihrem Zeichensatz und der erforderlichen Entropie ab. Für Authentifizierungs-Tokens, die alle druckbaren ASCII-Zeichen verwenden (94 Zeichen, 6,55 Bit pro Zeichen), bieten 20 Zeichen 131 Bit Entropie - hochsicher. Für nur alphanumerisch (62 Zeichen, 5,95 Bit pro Zeichen) verwenden Sie 22 Zeichen für ähnliche Entropie. Sitzungs-IDs benötigen minimal 112-128 Bit. Testdaten können kürzere Zeichenfolgen verwenden, da Sicherheit keine Sorge ist.

Schließen Sie mehrdeutige Zeichen (0/O, 1/l/I) aus, wenn Menschen die Zeichenfolgen lesen oder eingeben. Für Bestätigungscodes, Backup-Codes oder manuell eingegebene Werte verhindert das Ausschließen dieser Zeichen Benutzerfehler. Für rein interne Tokens, die Benutzer niemals sehen, schließen Sie alle Zeichen für maximale Entropie ein. Der Entropieverlust ist minimal - etwa 0,12 Bit pro Zeichen.

Für API-Schlüssel verwenden Sie alphanumerisch (a-z, A-Z, 0-9), das 62 Zeichen und breite Kompatibilität bietet. Dies funktioniert in HTTP-Headern, JSON und den meisten Konfigurationsdateien ohne Escaping. Streben Sie mindestens 32 Zeichen (190 Bit Entropie) für langlebige Schlüssel mit breiten Privilegien an. Fügen Sie Sonderzeichen nur hinzu, wenn Sie die zusätzliche Entropie benötigen und die Escaping-Komplexität handhaben können.

Ja, unser Generator verwendet die crypto.getRandomValues() der Web Crypto API, die kryptographisch sichere Zufallszahlengenerierung bietet. Dies greift auf den CSPRNG Ihres Betriebssystems zu, der aus Entropiequellen geseeded wird, die Angreifer nicht vorhersagen können. Die generierten Zeichenfolgen sind für sicherheitssensitive Anwendungen wie Authentifizierungs-Tokens und Sitzungs-IDs geeignet.

Ja, Zufallszeichenfolgen funktionieren gut als Datenbankidentifikatoren. Sie verhindern Aufzählungsangriffe (Erraten von IDs für Ressourcenzugriff) und vermeiden Informationslecks über Entitätszahl oder Erstellungsreihenfolge. Verwenden Sie URL-sichere Zeichen (alphanumerisch plus Bindestrich/Unterstrich) für IDs, die in URLs erscheinen. Stellen Sie ausreichende Länge sicher, um Kollisionen zu vermeiden - mindestens 16 Zeichen (95 Bit) für Millionen von Datensätzen. Berücksichtigen Sie Indizierungsleistung: kürzere Zeichenfolgen verwenden weniger Platz und indizieren schneller.