Bcrypt Tester

Passwort-Hash-Generator & Verifizierer

Generieren Sie sichere bcrypt-Hashes und verifizieren Sie Passwortauthentifizierung. Perfekt zum Testen von Login-Systemen und zum Verständnis von bcrypt-Kostenrunden.

Verwendung

Modus wählen
Wählen Sie 'Verifizieren', um zu prüfen, ob ein Passwort mit einem Hash übereinstimmt, oder 'Generieren', um einen neuen bcrypt-Hash zu erstellen
Passwort eingeben
Geben Sie das Klartext-Passwort und den Hash (zur Verifizierung) oder nur das Passwort (zur Generierung) ein
Ergebnis erhalten
Klicken Sie auf die Schaltfläche, um Übereinstimmung zu verifizieren oder Hash zu generieren. Passen Sie Kostenrunden für Generierung an (10 empfohlen)

Alle Hash- und Verifizierungsvorgänge erfolgen in Ihrem Browser mit bcrypt.js. Keine Passwörter werden an Server gesendet.

bcryptテスター

Testen Sie, ob ein Klartext-Passwort mit einem bcrypt-Hash übereinstimmt. Nützlich zum Debuggen von Authentifizierungsproblemen.

Klartext-Passwort

Bcrypt-Hash

Erstellen Sie einen sicheren bcrypt-Hash aus einem Klartext-Passwort. Höhere Kosten = sicherer aber langsamer.

Klartext-Passwort

Kostenrunden

Höhere Kosten = exponentiell langsamer aber sicherer gegen Brute-Force-Angriffe

Anwendungsfälle

Login-Systeme testen

Überprüfen Sie, dass Ihr Authentifizierungscode Passwörter korrekt hasht und vergleicht, bevor Sie in Produktion gehen

Authentifizierungsprobleme debuggen

Prüfen Sie, ob Login-Fehler durch falsche Passwortvergleiche oder Hash-Generierungsfehler verursacht werden

Kostenrunden verstehen

Experimentieren Sie mit verschiedenen Kostenrunden (8, 10, 12), um Sicherheit und Leistung für Ihre Anwendung auszubalancieren

Passwort-Migration

Generieren Sie bcrypt-Hashes beim Migrieren von weniger sicheren Hash-Algorithmen (MD5, SHA-1) zu bcrypt

Sicherheitsaudits

Testen Sie Passwortstärke und überprüfen Sie, dass Ihr System angemessene bcrypt-Kostenrunden verwendet (mindestens 10)

Lernen & Bildung

Verstehen Sie, wie bcrypt funktioniert, warum es sicher ist und wie Kostenrunden die Rechenzeit beeinflussen

Was ist Bcrypt?

Bcrypt ist eine Passwort-Hash-Funktion, die absichtlich langsam und rechenintensiv ist, was sie resistent gegen Brute-Force-Angriffe macht. Es ist der Industriestandard für sichere Passwortspeicherung.

Wie Bcrypt funktioniert

Bcrypt verwendet die Blowfish-Verschlüsselung mit einem Salt und Kostenfaktor. Der Kostenfaktor (Runden) bestimmt, wie viele Iterationen der Algorithmus durchführt - jede Erhöhung verdoppelt die Rechenzeit und macht Angriffe exponentiell schwerer.

Warum Bcrypt verwenden?

Im Gegensatz zu MD5/SHA, die schnell sind (schlecht für Passwörter), ist bcrypt absichtlich langsam. Dies macht Brute-Force-Angriffe unpraktisch. Kosten von 10 bedeuten 2^10 (1.024) Iterationen, was ~100ms zum Hashen benötigt - vernachlässigbar für Login, aber verheerend für Angreifer, die Milliarden von Passwörtern testen.

Sicherheits-Best-Practices

Verwenden Sie Kosten von 10-12 für die meisten Anwendungen. Kosten 10 ist das aktuell empfohlene Minimum. Verwenden Sie niemals MD5 oder SHA-1 für Passwörter - sie sind gebrochen. Speichern Sie niemals Klartext-Passwörter. Verwenden Sie immer bcrypt, Argon2 oder scrypt für Passwort-Hashing.

Häufig gestellte Fragen

Welche Kostenrunden sollte ich verwenden?

Verwenden Sie Kosten 10 als Minimum (aktueller Standard). Kosten 12 ist besser für hochsichere Anwendungen. Kosten 8 ist zu schwach für moderne Angriffe. Jede Erhöhung verdoppelt die Rechenzeit, also testen Sie die Leistung auf Ihrem Server, bevor Sie wählen.

Kann ich bcrypt-Hashes ohne Geheimschlüssel verifizieren?

Ja! Bcrypt verwendet keinen Geheimschlüssel - es verwendet ein Salt, das im Hash selbst eingebettet ist. Sie benötigen nur das Klartext-Passwort und den Hash zur Verifizierung. Dies unterscheidet sich von HMAC.

Warum dauert die Verifizierung so lange?

Das ist der Punkt! Bcrypt ist absichtlich langsam, um Brute-Force-Angriffe zu verhindern. Wenn es 100ms dauert, ein Passwort zu verifizieren, würde es Angreifern Jahre dauern, Milliarden von Passwörtern zu testen.

Was ist das Format eines bcrypt-Hashs?

Bcrypt-Hashes sehen so aus: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Format: $Algorithmus$Kosten$Salt-Hash, wobei Algorithmus 2a/2b (bcrypt-Versionen), Kosten Runden und Salt-Hash der kombinierte Salt und Hash ist.

Ist bcrypt besser als Argon2?

Argon2 ist neuer und theoretisch besser (gewann die Password Hashing Competition), aber bcrypt ist immer noch ausgezeichnet und breiter unterstützt. Beide sind sicher - verwenden Sie das, was Ihr Framework/Bibliothek gut unterstützt.

Kann ich MD5/SHA-Hashes zu bcrypt konvertieren?

Nein, Hashing ist einseitig - Sie können nicht konvertieren. Sie müssen Benutzer bitten, Passwörter zurückzusetzen oder beim nächsten Login neu zu hashen (temporäres doppeltes Hashing: bcrypt(md5(password)), dann nur bcrypt nach nächstem Login).

Speichert dieses Tool meine Passwörter?

Nein! Alle Hash- und Verifizierungsvorgänge erfolgen in Ihrem Browser mit der bcrypt.js-Bibliothek. Nichts wird an einen Server gesendet. Sie können dies überprüfen, indem Sie die Internetverbindung trennen - es funktioniert immer noch.

Was ist der Unterschied zwischen bcrypt.js und serverseitigem bcrypt?

Sie erzeugen identische Hashes mit demselben Algorithmus. Der einzige Unterschied ist die Geschwindigkeit - serverseitig (Node.js, PHP) kann schneller sein. Beide sind sicher und kompatibel.