Bcrypt एक पासवर्ड हैशिंग फंक्शन है जिसे धीमा और कम्प्यूटेशनल रूप से महंगा होने के लिए डिज़ाइन किया गया है, जो इसे ब्रूट-फोर्स हमलों के प्रति प्रतिरोधी बनाता है। यह पासवर्ड को सुरक्षित रूप से स्टोर करने के लिए उद्योग मानक है।
Bcrypt कैसे काम करता है
Bcrypt साल्ट और कॉस्ट फैक्टर के साथ Blowfish सिफर का उपयोग करता है। कॉस्ट फैक्टर (राउंड) निर्धारित करता है कि एल्गोरिदम कितने इटरेशन करता है - हर वृद्धि गणना समय को दोगुना कर देती है, जिससे हमले घातीय रूप से कठिन हो जाते हैं।
Bcrypt का उपयोग क्यों करें?
MD5/SHA के विपरीत जो तेज हैं (पासवर्ड के लिए बुरा), bcrypt जानबूझकर धीमा है। यह ब्रूट-फोर्स हमलों को अव्यावहारिक बनाता है। लागत 10 का मतलब है 2^10 (1,024) इटरेशन, जिसमें हैश करने में ~100ms लगते हैं - लॉगिन के लिए नगण्य लेकिन अरबों पासवर्ड आज़माने वाले हमलावरों के लिए विनाशकारी।
सर्वोत्तम सुरक्षा प्रथाएं
अधिकांश एप्लिकेशन के लिए लागत 10-12 का उपयोग करें। लागत 10 वर्तमान अनुशंसित न्यूनतम है। पासवर्ड के लिए कभी भी MD5 या SHA-1 का उपयोग न करें - वे टूट चुके हैं। कभी भी प्लेनटेक्स्ट पासवर्ड स्टोर न करें। पासवर्ड हैशिंग के लिए हमेशा bcrypt, Argon2 या scrypt का उपयोग करें।