Bcrypt Tester

Generátor a Ověřovač Hash Hesel

Generujte bezpečné bcrypt hashe a ověřujte autentizaci hesel. Perfektní pro testování přihlašovacích systémů a pochopení bcrypt kol nákladů.

Jak používat

Vyberte režim
Vyberte 'Ověřit' pro kontrolu, zda heslo odpovídá hashi, nebo 'Generovat' pro vytvoření nového bcrypt hashe
Zadejte heslo
Zadejte heslo v prostém textu a hash (pro ověření) nebo pouze heslo (pro generování)
Získejte výsledek
Klikněte na tlačítko pro ověření shody nebo generování hashe. Upravte kola nákladů pro generování (doporučeno 10)

Veškeré hashování a ověřování probíhá ve vašem prohlížeči pomocí bcrypt.js. Žádná hesla nejsou odesílána na servery.

bcryptテスター

Testujte, zda heslo v prostém textu odpovídá bcrypt hashi. Užitečné pro ladění problémů s autentizací.

Heslo v prostém textu

Bcrypt Hash

Vytvořte bezpečný bcrypt hash z hesla v prostém textu. Vyšší náklady = bezpečnější, ale pomalejší.

Heslo v prostém textu

Kola nákladů

Vyšší náklady = exponenciálně pomalejší, ale bezpečnější proti útokům hrubou silou

Případy užití

Testování přihlašovacích systémů

Ověřte, že váš autentizační kód správně hashuje a porovnává hesla před nasazením do produkce

Ladění problémů s autentizací

Zkontrolujte, zda jsou selhání přihlášení způsobena nesprávným porovnáním hesel nebo chybami v generování hashe

Pochopení kol nákladů

Experimentujte s různými koly nákladů (8, 10, 12) pro vyvážení bezpečnosti a výkonu vaší aplikace

Migrace hesel

Generujte bcrypt hashe při migraci z méně bezpečných hashovacích algoritmů (MD5, SHA-1) na bcrypt

Bezpečnostní audity

Testujte sílu hesla a ověřte, že váš systém používá vhodná bcrypt kola nákladů (minimum 10)

Učení a vzdělávání

Pochopte, jak bcrypt funguje, proč je bezpečný a jak kola nákladů ovlivňují výpočetní čas

Co je Bcrypt?

Bcrypt je funkce pro hashování hesel navržená tak, aby byla pomalá a výpočetně náročná, což ji činí odolnou proti útokům hrubou silou. Je to průmyslový standard pro bezpečné ukládání hesel.

Jak Bcrypt funguje

Bcrypt používá šifru Blowfish se solí a faktorem nákladů. Faktor nákladů (kola) určuje, kolik iterací algoritmus provede - každý přírůstek zdvojnásobí výpočetní čas, což činí útoky exponenciálně těžšími.

Proč používat Bcrypt?

Na rozdíl od MD5/SHA, které jsou rychlé (špatné pro hesla), je bcrypt záměrně pomalý. To činí útoky hrubou silou nepraktickými. Náklady 10 znamenají 2^10 (1 024) iterací, což trvá ~100 ms na hashování - zanedbatelné pro přihlášení, ale zničující pro útočníky zkoušející miliardy hesel.

Nejlepší bezpečnostní postupy

Používejte náklady 10-12 pro většinu aplikací. Náklady 10 jsou aktuální doporučené minimum. Nikdy nepoužívejte MD5 nebo SHA-1 pro hesla - jsou prolomeny. Nikdy neukládejte hesla v prostém textu. Vždy používejte bcrypt, Argon2 nebo scrypt pro hashování hesel.

Často kladené otázky

Jaká kola nákladů mám použít?

Použijte náklady 10 jako minimum (aktuální standard). Náklady 12 jsou lepší pro aplikace s vysokou bezpečností. Náklady 8 jsou příliš slabé pro moderní útoky. Každý přírůstek zdvojnásobí výpočetní čas, proto před výběrem otestujte výkon na vašem serveru.

Mohu ověřit bcrypt hashe bez tajného klíče?

Ano! Bcrypt nepoužívá tajný klíč - používá sůl, která je vložena do samotného hashe. Pro ověření potřebujete pouze heslo v prostém textu a hash. To je odlišné od HMAC.

Proč ověření trvá tak dlouho?

To je smysl! Bcrypt je záměrně pomalý, aby zabránil útokům hrubou silou. Pokud vám trvá 100 ms ověřit jedno heslo, útočníkům by trvalo roky vyzkoušet miliardy hesel.

Jaký je formát bcrypt hashe?

Bcrypt hashe vypadají takto: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Formát: $algorithm$cost$salthash kde algorithm je 2a/2b (verze bcrypt), cost je kola a salthash je kombinovaná sůl a hash.

Je bcrypt lepší než Argon2?

Argon2 je novější a teoreticky lepší (vyhrál Soutěž o hashování hesel), ale bcrypt je stále vynikající a více podporovaný. Oba jsou bezpečné - použijte ten, který váš framework/knihovna dobře podporuje.

Mohu převést MD5/SHA hashe na bcrypt?

Ne, hashování je jednosměrné - nelze převést. Musíte požádat uživatele o resetování hesel nebo přehashovat při jejich dalším přihlášení (dvojité hashování: dočasně bcrypt(md5(password)), pak pouze bcrypt po dalším přihlášení).

Ukládá tento nástroj má hesla?

Ne! Veškeré hashování a ověřování probíhá ve vašem prohlížeči pomocí knihovny bcrypt.js. Nic není odesíláno na žádný server. Můžete to ověřit odpojením od internetu - stále to funguje.

Jaký je rozdíl mezi bcrypt.js a serverovým bcrypt?

Produkují identické hashe pomocí stejného algoritmu. Jediný rozdíl je rychlost - serverová strana (Node.js, PHP) může být rychlejší. Oba jsou bezpečné a kompatibilní.