Bcrypt Tesztelő

Jelszó Hash Generátor és Ellenőrző

Generáljon biztonságos bcrypt hash-eket és ellenőrizze a jelszó hitelesítést. Tökéletes bejelentkezési rendszerek teszteléséhez és a bcrypt költségkörök megértéséhez.

Használati útmutató

Válasszon módot
Válassza az 'Ellenőrzés' lehetőséget annak ellenőrzésére, hogy a jelszó megegyezik-e a hash-sel, vagy a 'Generálás' lehetőséget új bcrypt hash létrehozásához
Adja meg a jelszót
Adja meg a sima szöveges jelszót és a hash-t (ellenőrzéshez) vagy csak a jelszót (generáláshoz)
Kapja meg az eredményt
Kattintson a gombra az egyezés ellenőrzéséhez vagy a hash generálásához. Állítsa be a költségköröket a generáláshoz (10 ajánlott)

Minden hash-elés és ellenőrzés a böngészőjében történik a bcrypt.js használatával. Semmilyen jelszó nem kerül a szerverekre.

bcryptテスター

Tesztelje, hogy a sima szöveges jelszó megegyezik-e a bcrypt hash-sel. Hasznos hitelesítési problémák hibakereséséhez.

Sima szöveges jelszó

Bcrypt Hash

Hozzon létre biztonságos bcrypt hash-t sima szöveges jelszóból. Magasabb költség = biztonságosabb, de lassabb.

Sima szöveges jelszó

Költségkörök

Magasabb költség = exponenciálisan lassabb, de biztonságosabb a brute-force támadásokkal szemben

Felhasználási esetek

Bejelentkezési rendszerek tesztelése

Ellenőrizze, hogy a hitelesítési kód helyesen hash-eli és hasonlítja össze a jelszavakat az éles környezetbe telepítés előtt

Hitelesítési problémák hibakeresése

Ellenőrizze, hogy a bejelentkezési hibákat helytelen jelszó-összehasonlítás vagy hash generálási hibák okozzák-e

Költségkörök megértése

Kísérletezzen különböző költségkörökkel (8, 10, 12) a biztonság és a teljesítmény egyensúlyának megtalálásához az alkalmazásához

Jelszó migráció

Generáljon bcrypt hash-eket, amikor kevésbé biztonságos hash algoritmusokról (MD5, SHA-1) vált bcrypt-re

Biztonsági auditok

Tesztelje a jelszó erősségét és ellenőrizze, hogy a rendszer megfelelő bcrypt költségköröket használ-e (minimum 10)

Tanulás és oktatás

Értse meg, hogyan működik a bcrypt, miért biztonságos, és hogyan befolyásolják a költségkörök a számítási időt

Mi az a Bcrypt?

A Bcrypt egy jelszó hash-elő függvény, amelyet úgy terveztek, hogy lassú és számításilag költséges legyen, így ellenállóvá teszi a brute-force támadásokkal szemben. Ez az iparági szabvány a jelszavak biztonságos tárolására.

Hogyan működik a Bcrypt

A Bcrypt a Blowfish titkosítást használja sóval és költségtényezővel. A költségtényező (körök) meghatározza, hány iterációt hajt végre az algoritmus - minden növekmény megduplázza a számítási időt, így a támadások exponenciálisan nehezebbé válnak.

Miért használjuk a Bcrypt-et?

Ellentétben az MD5/SHA-val, amelyek gyorsak (rossz jelszavakhoz), a bcrypt szándékosan lassú. Ez teszi a brute-force támadásokat gyakorlatilag kivitelezhetetlenné. A 10-es költség 2^10 (1024) iterációt jelent, amely ~100ms-ot vesz igénybe a hash-eléshez - elhanyagolható a bejelentkezéshez, de pusztító a támadóknak, akik milliárdnyi jelszót próbálnak ki.

Legjobb biztonsági gyakorlatok

Használjon 10-12-es költséget a legtöbb alkalmazáshoz. A 10-es költség a jelenlegi ajánlott minimum. Soha ne használjon MD5-öt vagy SHA-1-et jelszavakhoz - feltörték őket. Soha ne tároljon sima szöveges jelszavakat. Mindig használjon bcrypt-et, Argon2-t vagy scrypt-et a jelszó hash-eléshez.

Gyakran ismételt kérdések

Milyen költségköröket használjak?

Használjon 10-es költséget minimumként (jelenlegi szabvány). A 12-es költség jobb a magas biztonságú alkalmazásokhoz. A 8-as költség túl gyenge a modern támadásokhoz. Minden növekmény megduplázza a számítási időt, ezért tesztelje a teljesítményt a szerverén a választás előtt.

Ellenőrizhetem a bcrypt hash-eket titkos kulcs nélkül?

Igen! A bcrypt nem használ titkos kulcsot - a hash-be beágyazott sót használ. Csak a sima szöveges jelszóra és a hash-re van szükség az ellenőrzéshez. Ez különbözik a HMAC-tól.

Miért tart olyan sokáig az ellenőrzés?

Ez a lényeg! A bcrypt szándékosan lassú, hogy megakadályozza a brute-force támadásokat. Ha 100ms-ba kerül egy jelszó ellenőrzése, a támadóknak évekbe telne milliárdnyi jelszó kipróbálása.

Mi a bcrypt hash formátuma?

A bcrypt hash-ek így néznek ki: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Formátum: $algorithm$cost$salthash, ahol az algorithm 2a/2b (bcrypt verziók), a cost a körök, a salthash pedig a kombinált só és hash.

A bcrypt jobb, mint az Argon2?

Az Argon2 újabb és elméletileg jobb (megnyerte a Jelszó Hash-elési Versenyt), de a bcrypt még mindig kiváló és szélesebb körben támogatott. Mindkettő biztonságos - használja azt, amit a keretrendszere/könyvtára jól támogat.

Átalakíthatom az MD5/SHA hash-eket bcrypt-té?

Nem, a hash-elés egyirányú - nem lehet átalakítani. Meg kell kérnie a felhasználókat a jelszavak visszaállítására, vagy újra hash-elnie a következő bejelentkezésükkor (dupla hash-elés: ideiglenesen bcrypt(md5(password)), majd csak bcrypt a következő bejelentkezés után).

Ez az eszköz tárolja a jelszavaimat?

Nem! Minden hash-elés és ellenőrzés a böngészőjében történik a bcrypt.js könyvtár használatával. Semmi sem kerül semmilyen szerverre. Ezt úgy ellenőrizheti, hogy lecsatlakozik az internetről - továbbra is működik.

Mi a különbség a bcrypt.js és a szerver oldali bcrypt között?

Azonos hash-eket állítanak elő ugyanazzal az algoritmussal. Az egyetlen különbség a sebesség - a szerver oldal (Node.js, PHP) gyorsabb lehet. Mindkettő biztonságos és kompatibilis.