Bcrypt Tester

Generator i Weryfikator Hashy Haseł

Generuj bezpieczne hashe bcrypt i weryfikuj uwierzytelnianie haseł. Idealny do testowania systemów logowania i zrozumienia rund kosztów bcrypt.

Jak używać

Wybierz tryb
Wybierz 'Weryfikuj', aby sprawdzić czy hasło pasuje do hasha, lub 'Generuj', aby utworzyć nowy hash bcrypt
Wprowadź hasło
Wprowadź hasło w postaci zwykłego tekstu i hash (do weryfikacji) lub tylko hasło (do generowania)
Uzyskaj wynik
Kliknij przycisk, aby zweryfikować dopasowanie lub wygenerować hash. Dostosuj rundy kosztów do generowania (zalecane 10)

Całe hashowanie i weryfikacja odbywa się w Twojej przeglądarce przy użyciu bcrypt.js. Żadne hasła nie są wysyłane na serwery.

bcryptテスター

Sprawdź, czy hasło w postaci zwykłego tekstu pasuje do hasha bcrypt. Przydatne do debugowania problemów z uwierzytelnianiem.

Hasło w postaci zwykłego tekstu

Hash Bcrypt

Utwórz bezpieczny hash bcrypt z hasła w postaci zwykłego tekstu. Wyższy koszt = bezpieczniejsze, ale wolniejsze.

Hasło w postaci zwykłego tekstu

Rundy kosztów

Wyższy koszt = wykładniczo wolniejsze, ale bezpieczniejsze przed atakami brute-force

Przypadki użycia

Testowanie systemów logowania

Zweryfikuj, czy Twój kod uwierzytelniania prawidłowo hashuje i porównuje hasła przed wdrożeniem na produkcję

Debugowanie problemów z uwierzytelnianiem

Sprawdź, czy niepowodzenia logowania są spowodowane nieprawidłowym porównaniem haseł lub błędami generowania hasha

Zrozumienie rund kosztów

Eksperymentuj z różnymi rundami kosztów (8, 10, 12), aby zrównoważyć bezpieczeństwo i wydajność dla Twojej aplikacji

Migracja haseł

Generuj hashe bcrypt podczas migracji z mniej bezpiecznych algorytmów hashowania (MD5, SHA-1) do bcrypt

Audyty bezpieczeństwa

Testuj siłę haseł i weryfikuj, czy Twój system używa odpowiednich rund kosztów bcrypt (minimum 10)

Nauka i edukacja

Zrozum, jak działa bcrypt, dlaczego jest bezpieczny i jak rundy kosztów wpływają na czas obliczeń

Czym jest Bcrypt?

Bcrypt to funkcja hashowania haseł zaprojektowana, aby być wolna i kosztowna obliczeniowo, co czyni ją odporną na ataki brute-force. Jest to standard branżowy dla bezpiecznego przechowywania haseł.

Jak działa Bcrypt

Bcrypt używa szyfru Blowfish z solą i czynnikiem kosztu. Czynnik kosztu (rundy) określa, ile iteracji wykonuje algorytm - każdy wzrost podwaja czas obliczeń, czyniąc ataki wykładniczo trudniejszymi.

Dlaczego używać Bcrypt?

W przeciwieństwie do MD5/SHA, które są szybkie (złe dla haseł), bcrypt jest celowo wolny. To sprawia, że ataki brute-force są niepraktyczne. Koszt 10 oznacza 2^10 (1024) iteracji, co zajmuje ~100ms na hashowanie - nieistotne dla logowania, ale niszczące dla atakujących próbujących miliardy haseł.

Najlepsze praktyki bezpieczeństwa

Używaj kosztu 10-12 dla większości aplikacji. Koszt 10 to aktualnie zalecane minimum. Nigdy nie używaj MD5 ani SHA-1 do haseł - są złamane. Nigdy nie przechowuj haseł w postaci zwykłego tekstu. Zawsze używaj bcrypt, Argon2 lub scrypt do hashowania haseł.

Często zadawane pytania

Jakich rund kosztów powinienem używać?

Używaj kosztu 10 jako minimum (aktualny standard). Koszt 12 jest lepszy dla aplikacji o wysokim poziomie bezpieczeństwa. Koszt 8 jest zbyt słaby dla nowoczesnych ataków. Każdy wzrost podwaja czas obliczeń, więc przetestuj wydajność na swoim serwerze przed wyborem.

Czy mogę weryfikować hashe bcrypt bez tajnego klucza?

Tak! Bcrypt nie używa tajnego klucza - używa soli, która jest osadzona w samym hashu. Do weryfikacji potrzebujesz tylko hasła w postaci zwykłego tekstu i hasha. To różni się od HMAC.

Dlaczego weryfikacja trwa tak długo?

O to chodzi! Bcrypt jest celowo wolny, aby zapobiegać atakom brute-force. Jeśli zajmuje Ci 100ms weryfikacja jednego hasła, atakującym zajęłoby lata próbowanie miliardów haseł.

Jaki jest format hasha bcrypt?

Hashe bcrypt wyglądają tak: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Format: $algorithm$cost$salthash gdzie algorithm to 2a/2b (wersje bcrypt), cost to rundy, a salthash to połączona sól i hash.

Czy bcrypt jest lepszy niż Argon2?

Argon2 jest nowszy i teoretycznie lepszy (wygrał Password Hashing Competition), ale bcrypt jest nadal doskonały i szerzej wspierany. Oba są bezpieczne - używaj tego, co Twój framework/biblioteka dobrze wspiera.

Czy mogę przekonwertować hashe MD5/SHA na bcrypt?

Nie, hashowanie jest jednokierunkowe - nie możesz przekonwertować. Musisz poprosić użytkowników o zresetowanie haseł lub ponownie hashować przy ich następnym logowaniu (podwójne hashowanie: tymczasowo bcrypt(md5(password)), potem tylko bcrypt po następnym logowaniu).

Czy to narzędzie przechowuje moje hasła?

Nie! Całe hashowanie i weryfikacja odbywa się w Twojej przeglądarce przy użyciu biblioteki bcrypt.js. Nic nie jest wysyłane na żaden serwer. Możesz to zweryfikować odłączając się od internetu - nadal działa.

Jaka jest różnica między bcrypt.js a bcrypt po stronie serwera?

Produkują identyczne hashe przy użyciu tego samego algorytmu. Jedyna różnica to szybkość - strona serwera (Node.js, PHP) może być szybsza. Oba są bezpieczne i kompatybilne.