Bcrypt Tester

Generator i Verifikator Hash-a Lozinki

Generirajte sigurne bcrypt hash-eve i verificirajte autentifikaciju lozinki. Savršeno za testiranje sustava prijave i razumijevanje bcrypt rundi troška.

Kako koristiti

Odaberite način
Odaberite 'Verificiraj' da provjerite podudara li se lozinka s hash-om, ili 'Generiraj' za stvaranje novog bcrypt hash-a
Unesite lozinku
Unesite lozinku u čistom tekstu i hash (za verifikaciju) ili samo lozinku (za generiranje)
Dobijte rezultat
Kliknite gumb za verifikaciju podudaranja ili generiranje hash-a. Podesite runde troška za generiranje (preporučeno 10)

Svo hashiranje i verifikacija odvija se u vašem pregledniku koristeći bcrypt.js. Nijedna lozinka ne šalje se na poslužitelje.

bcryptテスター

Testirajte podudara li se lozinka u čistom tekstu s bcrypt hash-om. Korisno za otklanjanje problema s autentifikacijom.

Lozinka u čistom tekstu

Bcrypt Hash

Stvorite siguran bcrypt hash od lozinke u čistom tekstu. Veći trošak = sigurnije ali sporije.

Lozinka u čistom tekstu

Runde troška

Veći trošak = eksponencijalno sporije ali sigurnije protiv brute-force napada

Slučajevi korištenja

Testiranje sustava prijave

Provjerite hashira li i uspoređuje li vaš kod za autentifikaciju lozinke ispravno prije implementacije u produkciju

Otklanjanje problema s autentifikacijom

Provjerite uzrokuju li neuspjele prijave neispravna usporedba lozinki ili greške u generiranju hash-a

Razumijevanje rundi troška

Eksperimentirajte s različitim rundama troška (8, 10, 12) kako biste uravnotežili sigurnost i performanse za vašu aplikaciju

Migracija lozinki

Generirajte bcrypt hash-eve prilikom migracije s manje sigurnih algoritama hashiranja (MD5, SHA-1) na bcrypt

Sigurnosne revizije

Testirajte snagu lozinki i provjerite koristi li vaš sustav odgovarajuće bcrypt runde troška (minimalno 10)

Učenje i edukacija

Shvatite kako bcrypt radi, zašto je siguran i kako runde troška utječu na vrijeme računanja

Što je Bcrypt?

Bcrypt je funkcija za hashiranje lozinki dizajnirana da bude spora i računalno skupa, što je čini otpornom na brute-force napade. To je industrijski standard za sigurno pohranjivanje lozinki.

Kako Bcrypt radi

Bcrypt koristi Blowfish šifru sa solju i faktorom troška. Faktor troška (runde) određuje koliko iteracija algoritam izvršava - svako povećanje udvostručuje vrijeme računanja, čineći napade eksponencijalno težim.

Zašto koristiti Bcrypt?

Za razliku od MD5/SHA koji su brzi (loše za lozinke), bcrypt je namjerno spor. To čini brute-force napade nepraktičnima. Trošak 10 znači 2^10 (1.024) iteracija, za koje treba ~100ms za hashiranje - zanemarivo za prijavu ali razorno za napadače koji isprobavaju milijarde lozinki.

Najbolje sigurnosne prakse

Koristite trošak 10-12 za većinu aplikacija. Trošak 10 je trenutni preporučeni minimum. Nikada ne koristite MD5 ili SHA-1 za lozinke - probijeni su. Nikada ne pohranjujte lozinke u čistom tekstu. Uvijek koristite bcrypt, Argon2 ili scrypt za hashiranje lozinki.

Često postavljana pitanja

Koje runde troška trebam koristiti?

Koristite trošak 10 kao minimum (trenutni standard). Trošak 12 je bolji za aplikacije visoke sigurnosti. Trošak 8 je preslab za moderne napade. Svako povećanje udvostručuje vrijeme računanja, stoga testirajte performanse na svom poslužitelju prije odabira.

Mogu li verificirati bcrypt hash-eve bez tajnog ključa?

Da! Bcrypt ne koristi tajni ključ - koristi sol koja je ugrađena u sam hash. Za verifikaciju trebate samo lozinku u čistom tekstu i hash. To se razlikuje od HMAC-a.

Zašto verifikacija traje tako dugo?

To je poanta! Bcrypt je namjerno spor kako bi spriječio brute-force napade. Ako vam treba 100ms za verifikaciju jedne lozinke, napadačima bi trebale godine za isprobavanje milijardi lozinki.

Koji je format bcrypt hash-a?

Bcrypt hash-evi izgledaju ovako: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Format: $algorithm$cost$salthash gdje je algorithm 2a/2b (bcrypt verzije), cost su runde, a salthash je kombinirana sol i hash.

Je li bcrypt bolji od Argon2?

Argon2 je noviji i teoretski bolji (pobijedio na natjecanju Password Hashing Competition), ali bcrypt je i dalje odličan i šire podržan. Oba su sigurna - koristite ono što vaš framework/biblioteka dobro podržava.

Mogu li pretvoriti MD5/SHA hash-eve u bcrypt?

Ne, hashiranje je jednosmjerno - ne možete pretvoriti. Morate zatražiti od korisnika da resetiraju lozinke ili ponovno hashirati pri njihovoj sljedećoj prijavi (dvostruko hashiranje: privremeno bcrypt(md5(password)), zatim samo bcrypt nakon sljedeće prijave).

Pohranjuje li ovaj alat moje lozinke?

Ne! Svo hashiranje i verifikacija odvija se u vašem pregledniku koristeći bcrypt.js biblioteku. Ništa se ne šalje ni na jedan poslužitelj. Možete to provjeriti odspajanjem s interneta - i dalje radi.

Koja je razlika između bcrypt.js i bcrypt-a na strani poslužitelja?

Proizvode identične hash-eve koristeći isti algoritam. Jedina razlika je brzina - strana poslužitelja (Node.js, PHP) može biti brža. Oba su sigurna i kompatibilna.