Bcrypt Δοκιμαστής

Γεννήτρια & Επαληθευτής Hash Κωδικών

Δημιουργήστε ασφαλή bcrypt hashes και επαληθεύστε την πιστοποίηση κωδικών. Ιδανικό για δοκιμή συστημάτων σύνδεσης και κατανόηση των γύρων κόστους bcrypt.

Πώς να χρησιμοποιήσετε

Επιλέξτε λειτουργία
Επιλέξτε 'Επαλήθευση' για να ελέγξετε αν ένας κωδικός ταιριάζει με ένα hash, ή 'Δημιουργία' για να δημιουργήσετε ένα νέο bcrypt hash
Εισάγετε κωδικό
Εισάγετε τον απλό κωδικό και το hash (για επαλήθευση) ή μόνο τον κωδικό (για δημιουργία)
Λάβετε αποτέλεσμα
Κάντε κλικ στο κουμπί για επαλήθευση ή δημιουργία hash. Ρυθμίστε τους γύρους κόστους για τη δημιουργία (συνιστάται 10)

Όλο το hashing και η επαλήθευση γίνονται στον browser σας χρησιμοποιώντας bcrypt.js. Κανένας κωδικός δεν αποστέλλεται σε διακομιστές.

bcryptテスター

Δοκιμάστε αν ένας απλός κωδικός ταιριάζει με ένα bcrypt hash. Χρήσιμο για αποσφαλμάτωση προβλημάτων πιστοποίησης.

Απλός Κωδικός

Bcrypt Hash

Δημιουργήστε ένα ασφαλές bcrypt hash από έναν απλό κωδικό. Υψηλότερο κόστος = πιο ασφαλές αλλά πιο αργό.

Απλός Κωδικός

Γύροι Κόστους

Υψηλότερο κόστος = εκθετικά πιο αργό αλλά πιο ασφαλές κατά επιθέσεων brute-force

Περιπτώσεις Χρήσης

Δοκιμή Συστημάτων Σύνδεσης

Επαληθεύστε ότι ο κώδικας πιστοποίησης σας κάνει σωστά hash και συγκρίνει κωδικούς πριν την ανάπτυξη στην παραγωγή

Αποσφαλμάτωση Προβλημάτων Πιστοποίησης

Ελέγξτε αν οι αποτυχίες σύνδεσης προκαλούνται από λανθασμένη σύγκριση κωδικών ή σφάλματα δημιουργίας hash

Κατανόηση Γύρων Κόστους

Πειραματιστείτε με διαφορετικούς γύρους κόστους (8, 10, 12) για να εξισορροπήσετε ασφάλεια και απόδοση για την εφαρμογή σας

Μετεγκατάσταση Κωδικών

Δημιουργήστε bcrypt hashes κατά τη μετεγκατάσταση από λιγότερο ασφαλείς αλγόριθμους hash (MD5, SHA-1) σε bcrypt

Έλεγχοι Ασφάλειας

Δοκιμάστε την ισχύ του κωδικού και επαληθεύστε ότι το σύστημά σας χρησιμοποιεί κατάλληλους γύρους κόστους bcrypt (ελάχιστο 10)

Μάθηση & Εκπαίδευση

Κατανοήστε πώς λειτουργεί το bcrypt, γιατί είναι ασφαλές, και πώς οι γύροι κόστους επηρεάζουν τον χρόνο υπολογισμού

Τι είναι το Bcrypt;

Το Bcrypt είναι μια συνάρτηση hash κωδικών σχεδιασμένη να είναι αργή και υπολογιστικά δαπανηρή, καθιστώντας την ανθεκτική σε επιθέσεις brute-force. Είναι το βιομηχανικό πρότυπο για ασφαλή αποθήκευση κωδικών.

Πώς Λειτουργεί το Bcrypt

Το Bcrypt χρησιμοποιεί τον κρυπτογράφο Blowfish με αλάτι και παράγοντα κόστους. Ο παράγοντας κόστους (γύροι) καθορίζει πόσες επαναλήψεις εκτελεί ο αλγόριθμος - κάθε αύξηση διπλασιάζει τον χρόνο υπολογισμού, κάνοντας τις επιθέσεις εκθετικά πιο δύσκολες.

Γιατί να Χρησιμοποιήσετε Bcrypt;

Σε αντίθεση με τα MD5/SHA που είναι γρήγορα (κακό για κωδικούς), το bcrypt είναι σκόπιμα αργό. Αυτό κάνει τις επιθέσεις brute-force μη πρακτικές. Κόστος 10 σημαίνει 2^10 (1.024) επαναλήψεις, που παίρνουν ~100ms για hash - αμελητέο για σύνδεση αλλά καταστροφικό για επιτιθέμενους που δοκιμάζουν δισεκατομμύρια κωδικούς.

Βέλτιστες Πρακτικές Ασφάλειας

Χρησιμοποιήστε κόστος 10-12 για τις περισσότερες εφαρμογές. Το κόστος 10 είναι το τρέχον συνιστώμενο ελάχιστο. Μη χρησιμοποιείτε ποτέ MD5 ή SHA-1 για κωδικούς - είναι σπασμένοι. Μην αποθηκεύετε ποτέ κωδικούς σε απλό κείμενο. Χρησιμοποιείτε πάντα bcrypt, Argon2 ή scrypt για hash κωδικών.

Συχνές Ερωτήσεις

Ποιους γύρους κόστους πρέπει να χρησιμοποιήσω;

Χρησιμοποιήστε κόστος 10 ως ελάχιστο (τρέχον πρότυπο). Το κόστος 12 είναι καλύτερο για εφαρμογές υψηλής ασφάλειας. Το κόστος 8 είναι πολύ αδύναμο για σύγχρονες επιθέσεις. Κάθε αύξηση διπλασιάζει τον χρόνο υπολογισμού, οπότε δοκιμάστε την απόδοση στον διακομιστή σας πριν επιλέξετε.

Μπορώ να επαληθεύσω bcrypt hashes χωρίς το μυστικό κλειδί;

Ναι! Το Bcrypt δεν χρησιμοποιεί μυστικό κλειδί - χρησιμοποιεί αλάτι που είναι ενσωματωμένο στο ίδιο το hash. Χρειάζεστε μόνο τον απλό κωδικό και το hash για επαλήθευση. Αυτό είναι διαφορετικό από το HMAC.

Γιατί η επαλήθευση παίρνει τόσο πολύ χρόνο;

Αυτό είναι το νόημα! Το Bcrypt είναι σκόπιμα αργό για να αποτρέψει επιθέσεις brute-force. Αν σας παίρνει 100ms να επαληθεύσετε έναν κωδικό, θα χρειαζόταν χρόνια για τους επιτιθέμενους να δοκιμάσουν δισεκατομμύρια κωδικούς.

Ποια είναι η μορφή ενός bcrypt hash;

Τα Bcrypt hashes μοιάζουν με: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Μορφή: $algorithm$cost$salthash όπου algorithm είναι 2a/2b (εκδόσεις bcrypt), cost είναι γύροι, και salthash είναι το συνδυασμένο αλάτι και hash.

Είναι το bcrypt καλύτερο από το Argon2;

Το Argon2 είναι νεότερο και θεωρητικά καλύτερο (κέρδισε τον Διαγωνισμό Hash Κωδικών), αλλά το bcrypt είναι ακόμα εξαιρετικό και πιο ευρέως υποστηριζόμενο. Και τα δύο είναι ασφαλή - χρησιμοποιήστε όποιο υποστηρίζει καλά το framework/βιβλιοθήκη σας.

Μπορώ να μετατρέψω MD5/SHA hashes σε bcrypt;

Όχι, το hashing είναι μονόδρομο - δεν μπορείτε να μετατρέψετε. Πρέπει να ζητήσετε από τους χρήστες να επαναφέρουν κωδικούς ή να κάνετε re-hash κατά την επόμενη σύνδεσή τους (διπλό hashing: bcrypt(md5(password)) προσωρινά, μετά μόνο bcrypt μετά την επόμενη σύνδεση).

Αποθηκεύει αυτό το εργαλείο τους κωδικούς μου;

Όχι! Όλο το hashing και η επαλήθευση γίνονται στον browser σας χρησιμοποιώντας τη βιβλιοθήκη bcrypt.js. Τίποτα δεν αποστέλλεται σε κανέναν διακομιστή. Μπορείτε να το επαληθεύσετε αποσυνδέοντας από το internet - εξακολουθεί να λειτουργεί.

Ποια είναι η διαφορά μεταξύ bcrypt.js και server-side bcrypt;

Παράγουν πανομοιότυπα hashes χρησιμοποιώντας τον ίδιο αλγόριθμο. Η μόνη διαφορά είναι η ταχύτητα - το server-side (Node.js, PHP) μπορεί να είναι πιο γρήγορο. Και τα δύο είναι ασφαλή και συμβατά.