Bcrypt Tester

Generatore e Verificatore di Hash Password

Genera hash bcrypt sicuri e verifica l'autenticazione delle password. Perfetto per testare sistemi di login e comprendere i round di costo bcrypt.

Come utilizzare

Seleziona la modalità
Scegli 'Verifica' per controllare se una password corrisponde a un hash, o 'Genera' per creare un nuovo hash bcrypt
Inserisci la password
Inserisci la password in chiaro e l'hash (per la verifica) o solo la password (per la generazione)
Ottieni il risultato
Clicca il pulsante per verificare la corrispondenza o generare l'hash. Regola i round di costo per la generazione (10 consigliato)

Tutto l'hashing e la verifica avvengono nel tuo browser usando bcrypt.js. Nessuna password viene inviata ai server.

bcryptテスター

Testa se una password in chiaro corrisponde a un hash bcrypt. Utile per il debug di problemi di autenticazione.

Password in chiaro

Hash Bcrypt

Crea un hash bcrypt sicuro da una password in chiaro. Costo maggiore = più sicuro ma più lento.

Password in chiaro

Round di costo

Costo maggiore = esponenzialmente più lento ma più sicuro contro attacchi brute-force

Casi d'uso

Testare sistemi di login

Verifica che il tuo codice di autenticazione esegua correttamente l'hash e confronti le password prima della distribuzione in produzione

Debug problemi di autenticazione

Controlla se i fallimenti di login sono causati da confronto password errato o errori di generazione hash

Comprendere i round di costo

Sperimenta con diversi round di costo (8, 10, 12) per bilanciare sicurezza e prestazioni per la tua applicazione

Migrazione password

Genera hash bcrypt quando migri da algoritmi di hashing meno sicuri (MD5, SHA-1) a bcrypt

Audit di sicurezza

Testa la robustezza delle password e verifica che il tuo sistema utilizzi round di costo bcrypt appropriati (minimo 10)

Apprendimento ed educazione

Comprendi come funziona bcrypt, perché è sicuro e come i round di costo influenzano il tempo di calcolo

Cos'è Bcrypt?

Bcrypt è una funzione di hashing delle password progettata per essere lenta e computazionalmente costosa, rendendola resistente agli attacchi brute-force. È lo standard industriale per l'archiviazione sicura delle password.

Come funziona Bcrypt

Bcrypt utilizza il cifrario Blowfish con un salt e un fattore di costo. Il fattore di costo (round) determina quante iterazioni esegue l'algoritmo - ogni incremento raddoppia il tempo di calcolo, rendendo gli attacchi esponenzialmente più difficili.

Perché usare Bcrypt?

A differenza di MD5/SHA che sono veloci (male per le password), bcrypt è intenzionalmente lento. Questo rende gli attacchi brute-force impraticabili. Un costo di 10 significa 2^10 (1.024) iterazioni, che richiedono ~100ms per l'hash - trascurabile per il login ma devastante per gli attaccanti che provano miliardi di password.

Migliori pratiche di sicurezza

Usa costo 10-12 per la maggior parte delle applicazioni. Costo 10 è l'attuale minimo consigliato. Non usare mai MD5 o SHA-1 per le password - sono stati violati. Non archiviare mai password in chiaro. Usa sempre bcrypt, Argon2 o scrypt per l'hashing delle password.

Domande frequenti

Quali round di costo dovrei usare?

Usa costo 10 come minimo (standard attuale). Costo 12 è migliore per applicazioni ad alta sicurezza. Costo 8 è troppo debole per gli attacchi moderni. Ogni incremento raddoppia il tempo di calcolo, quindi testa le prestazioni sul tuo server prima di scegliere.

Posso verificare hash bcrypt senza una chiave segreta?

Sì! Bcrypt non usa una chiave segreta - usa un salt incorporato nell'hash stesso. Hai solo bisogno della password in chiaro e dell'hash per la verifica. Questo è diverso da HMAC.

Perché la verifica richiede così tanto tempo?

È il punto! Bcrypt è intenzionalmente lento per prevenire attacchi brute-force. Se ti servono 100ms per verificare una password, agli attaccanti servirebbero anni per provare miliardi di password.

Qual è il formato di un hash bcrypt?

Gli hash bcrypt appaiono così: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Formato: $algorithm$cost$salthash dove algorithm è 2a/2b (versioni bcrypt), cost sono i round e salthash è salt e hash combinati.

Bcrypt è migliore di Argon2?

Argon2 è più recente e teoricamente migliore (ha vinto la Password Hashing Competition), ma bcrypt è ancora eccellente e più ampiamente supportato. Entrambi sono sicuri - usa quello che il tuo framework/libreria supporta bene.

Posso convertire hash MD5/SHA in bcrypt?

No, l'hashing è unidirezionale - non puoi convertire. Devi chiedere agli utenti di reimpostare le password o ri-hashare al loro prossimo login (doppio hashing: temporaneamente bcrypt(md5(password)), poi solo bcrypt dopo il prossimo login).

Questo strumento salva le mie password?

No! Tutto l'hashing e la verifica avvengono nel tuo browser usando la libreria bcrypt.js. Nulla viene inviato a nessun server. Puoi verificarlo disconnettendoti da internet - funziona ancora.

Qual è la differenza tra bcrypt.js e bcrypt lato server?

Producono hash identici usando lo stesso algoritmo. L'unica differenza è la velocità - lato server (Node.js, PHP) può essere più veloce. Entrambi sono sicuri e compatibili.