Bcrypt Тестер

Генератор и Верификатор на Хешове за Пароли

Генерирайте сигурни bcrypt хешове и верифицирайте автентикация на пароли. Перфектен за тестване на системи за вход и разбиране на рундове за цена на bcrypt.

Как да използвате

Изберете режим
Изберете 'Верифициране' за да проверите дали парола съвпада с хеш, или 'Генериране' за да създадете нов bcrypt хеш
Въведете парола
Въведете паролата в обикновен текст и хеша (за верификация) или само паролата (за генериране)
Получете резултат
Кликнете бутона за верифициране на съвпадение или генериране на хеш. Регулирайте рундове за цена за генериране (препоръчително 10)

Цялото хеширане и верификация се случва във вашия браузър използвайки bcrypt.js. Никакви пароли не се изпращат към сървъри.

bcryptテスター

Тествайте дали парола в обикновен текст съвпада с bcrypt хеш. Полезно за отстраняване на проблеми с автентикация.

Парола в Обикновен Текст

Bcrypt Хеш

Създайте сигурен bcrypt хеш от парола в обикновен текст. По-висока цена = по-сигурно, но по-бавно.

Парола в Обикновен Текст

Рундове за Цена

По-висока цена = експоненциално по-бавно, но по-сигурно срещу атаки с груба сила

Случаи на Употреба

Тестване на Системи за Вход

Верифицирайте, че вашият код за автентикация правилно хешира и сравнява пароли преди разгръщане в продукция

Отстраняване на Проблеми с Автентикация

Проверете дали неуспешните входове са причинени от неправилно сравнение на пароли или грешки в генерирането на хеш

Разбиране на Рундове за Цена

Експериментирайте с различни рундове за цена (8, 10, 12) за балансиране на сигурност и производителност за вашето приложение

Миграция на Пароли

Генерирайте bcrypt хешове при мигриране от по-малко сигурни алгоритми за хеширане (MD5, SHA-1) към bcrypt

Одити на Сигурност

Тествайте силата на паролата и верифицирайте, че вашата система използва подходящи bcrypt рундове за цена (минимум 10)

Учене и Образование

Разберете как работи bcrypt, защо е сигурен и как рундовете за цена влияят на времето за изчисление

Какво е Bcrypt?

Bcrypt е функция за хеширане на пароли, проектирана да бъде бавна и изчислително скъпа, което я прави устойчива на атаки с груба сила. Тя е индустриалният стандарт за сигурно съхранение на пароли.

Как Работи Bcrypt

Bcrypt използва шифъра Blowfish със сол и фактор за цена. Факторът за цена (рундове) определя колко итерации извършва алгоритъма - всяко увеличение удвоява времето за изчисление, правейки атаките експоненциално по-трудни.

Защо да Използвате Bcrypt?

За разлика от MD5/SHA, които са бързи (лошо за пароли), bcrypt е умишлено бавен. Това прави атаките с груба сила непрактични. Цена от 10 означава 2^10 (1,024) итерации, отнемащи ~100ms за хеширане - незначително за вход, но опустошително за нападатели, опитващи милиарди пароли.

Най-добри Практики за Сигурност

Използвайте цена 10-12 за повечето приложения. Цена 10 е текущият препоръчителен минимум. Никога не използвайте MD5 или SHA-1 за пароли - те са компрометирани. Никога не съхранявайте пароли в обикновен текст. Винаги използвайте bcrypt, Argon2 или scrypt за хеширане на пароли.

Често Задавани Въпроси

Какви рундове за цена трябва да използвам?

Използвайте цена 10 като минимум (текущ стандарт). Цена 12 е по-добра за приложения с висока сигурност. Цена 8 е твърде слаба за съвременни атаки. Всяко увеличение удвоява времето за изчисление, така че тествайте производителността на вашия сървър преди избор.

Мога ли да верифицирам bcrypt хешове без секретен ключ?

Да! Bcrypt не използва секретен ключ - използва сол, която е вградена в самия хеш. Нуждаете се само от паролата в обикновен текст и хеша за верификация. Това е различно от HMAC.

Защо верификацията отнема толкова много време?

Това е целта! Bcrypt е умишлено бавен, за да предотврати атаки с груба сила. Ако отнема 100ms да верифицирате една парола, на нападателите ще им отнеме години да опитат милиарди пароли.

Какъв е форматът на bcrypt хеш?

Bcrypt хешовете изглеждат така: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Формат: $algorithm$cost$salthash където algorithm е 2a/2b (версии на bcrypt), cost е рундове, и salthash е комбинираната сол и хеш.

Bcrypt по-добър ли е от Argon2?

Argon2 е по-нов и теоретично по-добър (спечели Състезанието за Хеширане на Пароли), но bcrypt все още е отличен и по-широко поддържан. И двата са сигурни - използвайте който вашият фреймуърк/библиотека поддържа добре.

Мога ли да конвертирам MD5/SHA хешове в bcrypt?

Не, хеширането е еднопосочно - не можете да конвертирате. Трябва да помолите потребителите да нулират пароли или да хеширате отново по време на следващия им вход (двойно хеширане: bcrypt(md5(password)) временно, след това само bcrypt след следващия вход).

Този инструмент съхранява ли паролите ми?

Не! Цялото хеширане и верификация се случва във вашия браузър използвайки библиотеката bcrypt.js. Нищо не се изпраща към никакъв сървър. Можете да верифицирате това като прекъснете връзката с интернет - все още работи.

Каква е разликата между bcrypt.js и bcrypt от страна на сървъра?

Те произвеждат идентични хешове използвайки същия алгоритъм. Единствената разлика е скоростта - от страна на сървъра (Node.js, PHP) може да е по-бързо. И двете са сигурни и съвместими.