Bcrypt Tester

Passord Hash Generator og Verifiserer

Generer sikre bcrypt hasher og verifiser passordautentisering. Perfekt for testing av innloggingssystemer og forståelse av bcrypt kostnadsrunder.

Slik bruker du

Velg modus
Velg 'Verifiser' for å sjekke om et passord matcher en hash, eller 'Generer' for å opprette en ny bcrypt hash
Skriv inn passord
Skriv inn klartekstpassord og hash (for verifisering) eller bare passord (for generering)
Få resultat
Klikk på knappen for å verifisere match eller generere hash. Juster kostnadsrunder for generering (10 anbefalt)

All hashing og verifisering skjer i nettleseren din ved hjelp av bcrypt.js. Ingen passord sendes til servere.

bcryptテスター

Test om et klartekstpassord matcher en bcrypt hash. Nyttig for feilsøking av autentiseringsproblemer.

Klartekstpassord

Bcrypt Hash

Opprett en sikker bcrypt hash fra et klartekstpassord. Høyere kostnad = sikrere men tregere.

Klartekstpassord

Kostnadsrunder

Høyere kostnad = eksponentielt tregere men sikrere mot brute-force angrep

Bruksområder

Test innloggingssystemer

Verifiser at autentiseringskoden din hasher og sammenligner passord korrekt før distribusjon til produksjon

Feilsøk autentiseringsproblemer

Sjekk om innloggingsfeil skyldes feil passordsammenligning eller hashgenereringsfeil

Forstå kostnadsrunder

Eksperimenter med forskjellige kostnadsrunder (8, 10, 12) for å balansere sikkerhet og ytelse for applikasjonen din

Passordmigrering

Generer bcrypt hasher ved migrering fra mindre sikre hashingalgoritmer (MD5, SHA-1) til bcrypt

Sikkerhetsrevisjoner

Test passordstyrke og verifiser at systemet ditt bruker passende bcrypt kostnadsrunder (minimum 10)

Læring og utdanning

Forstå hvordan bcrypt fungerer, hvorfor det er sikkert, og hvordan kostnadsrunder påvirker beregningstid

Hva er Bcrypt?

Bcrypt er en passordhashingfunksjon designet for å være treg og beregningsmessig dyr, noe som gjør den motstandsdyktig mot brute-force angrep. Det er industristandarden for sikker lagring av passord.

Hvordan Bcrypt fungerer

Bcrypt bruker Blowfish-chifferet med et salt og en kostnadsfaktor. Kostnadsfaktoren (runder) bestemmer hvor mange iterasjoner algoritmen utfører - hver økning dobler beregningstiden, noe som gjør angrep eksponentielt vanskeligere.

Hvorfor bruke Bcrypt?

I motsetning til MD5/SHA som er raske (dårlig for passord), er bcrypt med vilje treg. Dette gjør brute-force angrep upraktiske. En kostnad på 10 betyr 2^10 (1024) iterasjoner, som tar ~100ms å hashe - ubetydelig for innlogging men ødeleggende for angripere som prøver milliarder av passord.

Beste sikkerhetspraksis

Bruk kostnad 10-12 for de fleste applikasjoner. Kostnad 10 er det nåværende anbefalte minimum. Bruk aldri MD5 eller SHA-1 for passord - de er knekt. Lagre aldri klartekstpassord. Bruk alltid bcrypt, Argon2 eller scrypt for passordhashing.

Ofte stilte spørsmål

Hvilke kostnadsrunder bør jeg bruke?

Bruk kostnad 10 som minimum (nåværende standard). Kostnad 12 er bedre for applikasjoner med høy sikkerhet. Kostnad 8 er for svak for moderne angrep. Hver økning dobler beregningstiden, så test ytelse på serveren din før du velger.

Kan jeg verifisere bcrypt hasher uten den hemmelige nøkkelen?

Ja! Bcrypt bruker ikke en hemmelig nøkkel - det bruker et salt som er innebygd i selve hashen. Du trenger bare klartekstpassordet og hashen for å verifisere. Dette er forskjellig fra HMAC.

Hvorfor tar verifisering så lang tid?

Det er poenget! Bcrypt er med vilje treg for å forhindre brute-force angrep. Hvis det tar deg 100ms å verifisere ett passord, ville det ta angripere år å prøve milliarder av passord.

Hva er formatet på en bcrypt hash?

Bcrypt hasher ser slik ut: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Format: $algorithm$cost$salthash hvor algorithm er 2a/2b (bcrypt versjoner), cost er runder, og salthash er kombinert salt og hash.

Er bcrypt bedre enn Argon2?

Argon2 er nyere og teoretisk bedre (vant Password Hashing Competition), men bcrypt er fortsatt utmerket og bredere støttet. Begge er sikre - bruk det rammeverket/biblioteket ditt støtter godt.

Kan jeg konvertere MD5/SHA hasher til bcrypt?

Nei, hashing er enveis - du kan ikke konvertere. Du må be brukere om å tilbakestille passord eller re-hashe ved deres neste innlogging (dobbel-hashing: midlertidig bcrypt(md5(password)), deretter bare bcrypt etter neste innlogging).

Lagrer dette verktøyet passordene mine?

Nei! All hashing og verifisering skjer i nettleseren din ved hjelp av bcrypt.js biblioteket. Ingenting sendes til noen server. Du kan verifisere dette ved å koble fra internett - det fungerer fortsatt.

Hva er forskjellen mellom bcrypt.js og serverside bcrypt?

De produserer identiske hasher ved hjelp av samme algoritme. Den eneste forskjellen er hastighet - serverside (Node.js, PHP) kan være raskere. Begge er sikre og kompatible.