Home/ Glossar/ Token-Generator
Security

Token-Generator

Der Token-Generator erzeugt kryptografisch sichere Tokens mit der Web Crypto API (window.crypto.getRandomValues) in wählbarem Zeichensatz und konfigurierbarer Länge von 1 bis 512 Zeichen. Unterstützte Zeichensätze umfassen Hexadezimal, Base64 (URL-safe), alphanumerisch sowie vollständig konfigurierbare Zeichenmengen. Das Tool eignet sich für die Erzeugung von API-Keys, Session-IDs, CSRF-Tokens, Nonces und anderen sicherheitskritischen Zufallswerten.

Was macht einen Token kryptografisch sicher?

Ein kryptografisch sicherer Token basiert auf einem Cryptographically Secure Pseudo-Random Number Generator (CSPRNG). Browser stellen diesen über window.crypto.getRandomValues bereit – denselben Generator, der für TLS-Verbindungen genutzt wird. Im Gegensatz zu Math.random(), das deterministisch und vorhersagbar ist, liefert ein CSPRNG statistisch unvorhersagbare Ausgaben. Die Stärke eines Tokens ergibt sich aus seiner Entropie: Ein 32-Byte-Hex-Token (64 Zeichen) hat 256 Bit Entropie – ausreichend, um selbst mit allen Rechenkapazitäten der Welt nicht erraten werden zu können. Für Produktionssysteme sollte ein API-Token mindestens 128 Bit (16 Byte) Entropie aufweisen.

Welcher Zeichensatz ist für welchen Zweck geeignet?

Hexadezimale Tokens (0–9, a–f) sind maximal kompatibel mit Datenbanken, HTTP-Headern und APIs, erzeugen aber pro Byte nur 4 Bit Entropie (6,25 Bit/Zeichen). Base64-URL-safe-Tokens (A–Z, a–z, 0–9, -, _) kodieren 6 Bit pro Zeichen und sind kompakter. Alphanumerische Tokens (A–Z, a–z, 0–9; 62 Zeichen) bieten ~5,95 Bit/Zeichen. Für maximale Entropie pro Zeichen eignet sich ein vollständiger ASCII-Sonderzeichensatz (94 Zeichen, ~6,55 Bit/Zeichen), der aber in manchen Kontexten (URLs, HTTP-Header) escapet werden muss. Der UUID-v4-Standard ist ebenfalls verfügbar (122 Bit effektive Entropie).

Typische Anwendungsfälle

  • Generieren von API-Keys für eigene REST-APIs und Webhooks
  • Erstellen von Session-IDs für Web-Authentifizierungssysteme
  • Erzeugen von CSRF-Tokens zum Schutz vor Cross-Site Request Forgery
  • Erstellen kryptografisch sicherer Nonces für OAuth-Flows und TOTP-Setups

Schritt-für-Schritt-Anleitung

  1. Schritt 1: Gewünschte Token-Länge eingeben (empfohlen: 32 Zeichen Hex = 128 Bit Entropie)
  2. Schritt 2: Zeichensatz auswählen (Hexadezimal, Base64-URL, alphanumerisch oder benutzerdefiniert)
  3. Schritt 3: 'Generieren' klicken – der Token wird sofort erzeugt und angezeigt
  4. Schritt 4: Token kopieren und sicher speichern bzw. direkt in die Anwendung integrieren

Beispiel

Eingabe
Länge: 64, Zeichensatz: Hexadezimal
Ausgabe
a3f8d2c1b0e9f4a7d6c5b4a3e2d1c0b9f8e7d6c5b4a3f2e1d0c9b8a7f6e5d4c3

Tipps & Hinweise

  • Tipp: Für API-Keys mindestens 128 Bit Entropie verwenden (32 Hex-Zeichen oder 22 Base64-Zeichen) – 256 Bit (64 Hex-Zeichen) bieten einen komfortablen Sicherheitspuffer für kritische Systeme.
  • Tipp: API-Keys sollten serverseitig niemals im Klartext gespeichert werden – nur der Hash (SHA-256) des Keys in der Datenbank ablegen und den Originalkey nur einmalig dem Nutzer zeigen.
  • Tipp: Verwende für URLs und HTTP-Header den Base64-URL-safe-Zeichensatz, um Probleme mit Sonderzeichen (+, /, =) zu vermeiden.

Häufige Fragen

Was ist der Unterschied zwischen einem Token und einem Passwort?
Passwörter werden von Menschen gewählt und merkt man sich; sie haben oft vorhersagbare Muster und geringere Entropie. Tokens werden maschinell generiert und sind vollständig zufällig. API-Keys und Session-Tokens sind immer maschinell generierte Tokens mit hoher Entropie. Für Passwörter eignen sich spezielle Hashing-Algorithmen (bcrypt, Argon2); Tokens werden in der Regel als SHA-256-Hash in der Datenbank gespeichert.
Wie viele Bit Entropie braucht ein sicherer Session-Token?
OWASP empfiehlt mindestens 128 Bit Entropie für Session-IDs. Das entspricht 32 Hexadezimalzeichen (16 Byte) oder 22 Base64-URL-Zeichen. Für besonders schützenswerte Systeme (Banking, Gesundheit) sind 256 Bit empfehlenswert.
Kann ich einen generierten Token als UUID verwenden?
UUID v4 ist ein 128-Bit-Zufallswert mit festem Format (8-4-4-4-12 Hexadezimalzeichen). Das Tool kann UUID v4 direkt generieren. Dabei sind 122 der 128 Bit zufällig (6 Bit sind versionsspezifisch reserviert). UUIDs sind in Datenbanken als Primary Keys weit verbreitet, aber ihre 122-Bit-Entropie ist für die meisten Token-Zwecke ausreichend.
Token-Generator
Generiert kryptografisch sichere Tokens mit wählbarem Zeichensatz und konfigurierbarer Länge (1–512 Zeichen).
Tool öffnen
Ähnliche Tools
Passwort-Generator
UUID-Generator
ULID-Generator
Hash Text
HMAC-Generator
OTP-Generator