什麼是 Argon2 驗證?
Argon2 驗證會檢查純文字密碼是否能產生先前儲存的相同已編碼 Argon2 雜湊。已編碼雜湊包含 Argon2 變體、成本參數、salt 與 digest,因此驗證器不需要另外的設定,就能重複執行相同工作。
何時使用此工具
- 確認複製的密碼與已儲存的 Argon2 雜湊是否相符
- 在系統之間移轉密碼記錄時,偵錯登入或移轉問題
- 檢查已編碼 Argon2 雜湊內的變體與成本參數
- 測試使用選用伺服器端 secret 的雜湊,這通常稱為 pepper
如何安全驗證
- 貼上你想檢查的密碼。
- 貼上完整的已編碼雜湊,例如以
$argon2id$開頭的字串。 - 只有在原始雜湊是使用 secret 建立時,才輸入 secret。
- 執行驗證,並查看符合、不符合或無效雜湊的結果。
安全性注意事項
驗證會在你的瀏覽器本機進行,但貼上的密碼與雜湊仍可能留在瀏覽器記憶體中,直到你重設表單或關閉分頁。避免在共用裝置上使用正式環境憑證。對於新的密碼儲存系統,Argon2id 通常是較建議的 Argon2 變體,因為它能平衡對側通道攻擊與 GPU 攻擊的抵抗力。