Tester Bcrypt

Generator și Verificator de Hash pentru Parole

Generați hash-uri bcrypt sigure și verificați autentificarea parolelor. Perfect pentru testarea sistemelor de autentificare și înțelegerea rundelor de cost bcrypt.

Cum se utilizează

Selectați modul
Alegeți 'Verificare' pentru a verifica dacă o parolă corespunde unui hash, sau 'Generare' pentru a crea un nou hash bcrypt
Introduceți parola
Introduceți parola în text simplu și hash-ul (pentru verificare) sau doar parola (pentru generare)
Obțineți rezultatul
Faceți clic pe buton pentru a verifica corespondența sau pentru a genera hash-ul. Ajustați rundele de cost pentru generare (10 recomandat)

Tot hashing-ul și verificarea au loc în browserul dvs. folosind bcrypt.js. Nicio parolă nu este trimisă la servere.

bcryptテスター

Testați dacă o parolă în text simplu corespunde unui hash bcrypt. Util pentru depanarea problemelor de autentificare.

Parolă în text simplu

Hash Bcrypt

Creați un hash bcrypt sigur dintr-o parolă în text simplu. Cost mai mare = mai sigur dar mai lent.

Parolă în text simplu

Runde de cost

Cost mai mare = exponențial mai lent dar mai sigur împotriva atacurilor brute-force

Cazuri de utilizare

Testarea sistemelor de autentificare

Verificați că codul dvs. de autentificare face hash și compară corect parolele înainte de implementarea în producție

Depanarea problemelor de autentificare

Verificați dacă eșecurile de autentificare sunt cauzate de compararea incorectă a parolelor sau de erori de generare a hash-ului

Înțelegerea rundelor de cost

Experimentați cu diferite runde de cost (8, 10, 12) pentru a echilibra securitatea și performanța pentru aplicația dvs.

Migrarea parolelor

Generați hash-uri bcrypt la migrarea de la algoritmi de hashing mai puțin siguri (MD5, SHA-1) la bcrypt

Audituri de securitate

Testați puterea parolei și verificați că sistemul dvs. folosește runde de cost bcrypt adecvate (minim 10)

Învățare și educație

Înțelegeți cum funcționează bcrypt, de ce este sigur și cum rundele de cost afectează timpul de calcul

Ce este Bcrypt?

Bcrypt este o funcție de hashing a parolelor proiectată să fie lentă și costisitoare din punct de vedere computațional, făcând-o rezistentă la atacurile brute-force. Este standardul industriei pentru stocarea sigură a parolelor.

Cum funcționează Bcrypt

Bcrypt folosește cifrul Blowfish cu un salt și un factor de cost. Factorul de cost (runde) determină câte iterații execută algoritmul - fiecare creștere dublează timpul de calcul, făcând atacurile exponențial mai dificile.

De ce să folosiți Bcrypt?

Spre deosebire de MD5/SHA care sunt rapide (rău pentru parole), bcrypt este intenționat lent. Acest lucru face atacurile brute-force impracticabile. Un cost de 10 înseamnă 2^10 (1.024) iterații, care durează ~100ms pentru hash - neglijabil pentru autentificare dar devastator pentru atacatori care încearcă miliarde de parole.

Cele mai bune practici de securitate

Folosiți cost 10-12 pentru majoritatea aplicațiilor. Cost 10 este minimul recomandat actual. Nu folosiți niciodată MD5 sau SHA-1 pentru parole - sunt sparte. Nu stocați niciodată parole în text simplu. Folosiți întotdeauna bcrypt, Argon2 sau scrypt pentru hashing-ul parolelor.

Întrebări frecvente

Ce runde de cost ar trebui să folosesc?

Folosiți cost 10 ca minim (standardul actual). Cost 12 este mai bun pentru aplicații cu securitate ridicată. Cost 8 este prea slab pentru atacurile moderne. Fiecare creștere dublează timpul de calcul, așa că testați performanța pe serverul dvs. înainte de a alege.

Pot verifica hash-uri bcrypt fără cheia secretă?

Da! Bcrypt nu folosește o cheie secretă - folosește un salt care este încorporat în hash-ul însuși. Aveți nevoie doar de parola în text simplu și de hash pentru verificare. Acest lucru este diferit de HMAC.

De ce durează atât de mult verificarea?

Acesta este scopul! Bcrypt este intenționat lent pentru a preveni atacurile brute-force. Dacă vă ia 100ms să verificați o parolă, atacatorilor le-ar lua ani să încerce miliarde de parole.

Care este formatul unui hash bcrypt?

Hash-urile bcrypt arată astfel: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Format: $algorithm$cost$salthash unde algorithm este 2a/2b (versiuni bcrypt), cost sunt rundele și salthash este salt-ul și hash-ul combinate.

Este bcrypt mai bun decât Argon2?

Argon2 este mai nou și teoretic mai bun (a câștigat Password Hashing Competition), dar bcrypt este încă excelent și mai larg suportat. Ambele sunt sigure - folosiți ceea ce framework-ul/biblioteca dvs. suportă bine.

Pot converti hash-uri MD5/SHA în bcrypt?

Nu, hashing-ul este unidirecțional - nu puteți converti. Trebuie să cereți utilizatorilor să reseteze parolele sau să refaceți hash-ul la următoarea lor autentificare (hash dublu: temporar bcrypt(md5(password)), apoi doar bcrypt după următoarea autentificare).

Acest instrument stochează parolele mele?

Nu! Tot hashing-ul și verificarea au loc în browserul dvs. folosind biblioteca bcrypt.js. Nimic nu este trimis la niciun server. Puteți verifica acest lucru deconectându-vă de la internet - funcționează în continuare.

Care este diferența dintre bcrypt.js și bcrypt pe partea serverului?

Produc hash-uri identice folosind același algoritm. Singura diferență este viteza - partea serverului (Node.js, PHP) poate fi mai rapidă. Ambele sunt sigure și compatibile.