Erstelle WordPress-kompatible Passwort-Hashes (phpass) und überprüfe bestehende Hashes direkt im Browser.
{{ hash }}Gib ein Passwort ein, um einen WordPress-Hash zu generieren.
| {{ __t('info_algorithm') }} | {{ hashInfo.algorithm }} |
| {{ __t('info_iterations') }} | {{ hashInfo.iterations }} |
| {{ __t('info_salt') }} | {{ hashInfo.salt }} |
| {{ __t('info_valid_format') }} | {{ hashInfo.valid ? '✓' : '✗' }} |
WordPress verwendet die phpass-Bibliothek (PHPass) zum Hashen von Passwörtern. Dabei kommt iteriertes MD5-Hashing mit einem zufälligen Salt zum Einsatz. Die resultierenden Hashes beginnen mit dem Präfix $P$ (oder $H$) und sind 34 Zeichen lang. Diese Hashes werden in der Tabelle wp_users in der Spalte user_pass gespeichert. Obwohl MD5 allein als unsicher gilt, bieten die vielen Iterationen zusätzlichen Schutz gegen Brute-Force-Angriffe.
Der phpass-Algorithmus erzeugt zunächst einen zufälligen Salt aus 8 Zeichen. Der Hash beginnt mit dem Präfix $P$, gefolgt von einem Zeichen für die Iterationsanzahl (z. B. B = 8192 Iterationen) und dem Salt. Dann wird MD5 wiederholt angewendet: zuerst auf Salt + Passwort, danach wird das Ergebnis zusammen mit dem Passwort erneut gehasht — insgesamt 8192 Mal. Das binäre Ergebnis wird anschließend mit einer eigenen Base64-Kodierung in eine lesbare Zeichenkette umgewandelt. Der endgültige Hash ist immer 34 Zeichen lang.
Ja. Alle Berechnungen finden ausschließlich in deinem Browser statt (JavaScript). Es werden keine Passwörter oder Hashes an einen Server gesendet. Du kannst dies jederzeit in den Entwicklertools deines Browsers im Netzwerk-Tab überprüfen.