Probador Bcrypt

Generador y verificador de hash de contraseñas

Genere hashes bcrypt seguros y verifique la autenticación de contraseñas. Perfecto para probar sistemas de inicio de sesión y comprender las rondas de costo de bcrypt.

Cómo usar

Elegir modo
Seleccione 'Verificar' para comprobar si una contraseña coincide con un hash, o 'Generar' para crear un nuevo hash bcrypt
Ingresar contraseña
Ingrese la contraseña en texto plano y el hash (para verificación) o solo la contraseña (para generación)
Obtener resultado
Haga clic en el botón para verificar coincidencia o generar hash. Ajuste las rondas de costo para generación (10 recomendado)

Todo el hash y verificación ocurre en su navegador usando bcrypt.js. No se envían contraseñas a los servidores.

bcryptテスター

Pruebe si una contraseña en texto plano coincide con un hash bcrypt. Útil para depurar problemas de autenticación.

Contraseña en texto plano

Hash Bcrypt

Cree un hash bcrypt seguro desde una contraseña en texto plano. Mayor costo = más seguro pero más lento.

Contraseña en texto plano

Rondas de costo

Mayor costo = exponencialmente más lento pero más seguro contra ataques de fuerza bruta

Casos de uso

Probar sistemas de inicio de sesión

Verifique que su código de autenticación hashea y compara contraseñas correctamente antes de implementar en producción

Depurar problemas de autenticación

Verifique si los fallos de inicio de sesión son causados por comparación incorrecta de contraseñas o errores de generación de hash

Comprender rondas de costo

Experimente con diferentes rondas de costo (8, 10, 12) para equilibrar seguridad y rendimiento para su aplicación

Migración de contraseñas

Genere hashes bcrypt al migrar de algoritmos de hash menos seguros (MD5, SHA-1) a bcrypt

Auditorías de seguridad

Pruebe la fortaleza de contraseñas y verifique que su sistema usa rondas de costo bcrypt apropiadas (mínimo 10)

Aprendizaje y educación

Comprenda cómo funciona bcrypt, por qué es seguro y cómo las rondas de costo afectan el tiempo de cómputo

¿Qué es Bcrypt?

Bcrypt es una función de hash de contraseñas diseñada para ser lenta y computacionalmente costosa, haciéndola resistente a ataques de fuerza bruta. Es el estándar de la industria para almacenar contraseñas de forma segura.

Cómo funciona Bcrypt

Bcrypt usa el cifrado Blowfish con un salt y factor de costo. El factor de costo (rondas) determina cuántas iteraciones realiza el algoritmo - cada incremento duplica el tiempo de cómputo, haciendo los ataques exponencialmente más difíciles.

¿Por qué usar Bcrypt?

A diferencia de MD5/SHA que son rápidos (malo para contraseñas), bcrypt es intencionalmente lento. Esto hace que los ataques de fuerza bruta sean impracticables. Un costo de 10 significa 2^10 (1,024) iteraciones, tomando ~100ms para hashear - insignificante para inicio de sesión pero devastador para atacantes probando miles de millones de contraseñas.

Mejores prácticas de seguridad

Use un costo de 10-12 para la mayoría de aplicaciones. Costo 10 es el mínimo recomendado actual. Nunca use MD5 o SHA-1 para contraseñas - están rotos. Nunca almacene contraseñas en texto plano. Use siempre bcrypt, Argon2 o scrypt para hash de contraseñas.

Preguntas frecuentes

¿Qué rondas de costo debo usar?

Use costo 10 como mínimo (estándar actual). Costo 12 es mejor para aplicaciones de alta seguridad. Costo 8 es demasiado débil para ataques modernos. Cada incremento duplica el tiempo de cómputo, así que pruebe el rendimiento en su servidor antes de elegir.

¿Puedo verificar hashes bcrypt sin clave secreta?

¡Sí! Bcrypt no usa clave secreta - usa un salt que está incrustado en el hash mismo. Solo necesita la contraseña en texto plano y el hash para verificar. Esto es diferente de HMAC.

¿Por qué la verificación toma tanto tiempo?

¡Ese es el punto! Bcrypt es intencionalmente lento para prevenir ataques de fuerza bruta. Si toma 100ms verificar una contraseña, tomaría años a los atacantes probar miles de millones de contraseñas.

¿Cuál es el formato de un hash bcrypt?

Los hashes bcrypt se ven así: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Formato: $algoritmo$costo$salt-hash donde algoritmo es 2a/2b (versiones bcrypt), costo es rondas, y salt-hash es el salt y hash combinados.

¿Es bcrypt mejor que Argon2?

Argon2 es más nuevo y teóricamente mejor (ganó la Password Hashing Competition), pero bcrypt sigue siendo excelente y más ampliamente compatible. Ambos son seguros - use el que su framework/librería soporte bien.

¿Puedo convertir hashes MD5/SHA a bcrypt?

No, el hash es unidireccional - no puede convertir. Debe pedir a los usuarios que restablezcan contraseñas o re-hashear durante su próximo inicio de sesión (doble hash temporal: bcrypt(md5(password)), luego solo bcrypt después del próximo inicio de sesión).

¿Esta herramienta almacena mis contraseñas?

¡No! Todo el hash y verificación ocurre en su navegador usando la librería bcrypt.js. Nada se envía a ningún servidor. Puede verificar esto desconectándose de Internet - sigue funcionando.

¿Cuál es la diferencia entre bcrypt.js y bcrypt del lado del servidor?

Producen hashes idénticos usando el mismo algoritmo. La única diferencia es la velocidad - del lado del servidor (Node.js, PHP) puede ser más rápido. Ambos son seguros y compatibles.