Trình kiểm tra Bcrypt

Trình tạo và xác minh hash mật khẩu

Tạo hash bcrypt an toàn và xác minh xác thực mật khẩu. Hoàn hảo để kiểm tra hệ thống đăng nhập và hiểu vòng chi phí bcrypt.

Cách sử dụng

Chọn chế độ
Chọn 'Xác minh' để kiểm tra xem mật khẩu có khớp với hash không, hoặc 'Tạo' để tạo hash bcrypt mới
Nhập mật khẩu
Nhập mật khẩu văn bản thuần túy và hash (để xác minh) hoặc chỉ mật khẩu (để tạo)
Nhận kết quả
Nhấp vào nút để xác minh khớp hoặc tạo hash. Điều chỉnh vòng chi phí để tạo (khuyến nghị 10)

Tất cả băm và xác minh diễn ra trong trình duyệt của bạn bằng bcrypt.js. Không có mật khẩu nào được gửi đến máy chủ.

bcryptテスター

Kiểm tra xem mật khẩu văn bản thuần túy có khớp với hash bcrypt không. Hữu ích để gỡ lỗi vấn đề xác thực.

Mật khẩu văn bản thuần túy

Hash Bcrypt

Tạo hash bcrypt an toàn từ mật khẩu văn bản thuần túy. Chi phí cao hơn = an toàn hơn nhưng chậm hơn.

Mật khẩu văn bản thuần túy

Vòng chi phí

Chi phí cao hơn = chậm hơn theo cấp số nhân nhưng an toàn hơn chống lại các cuộc tấn công brute-force

Trường hợp sử dụng

Kiểm tra hệ thống đăng nhập

Xác minh rằng mã xác thực của bạn băm và so sánh mật khẩu chính xác trước khi triển khai lên production

Gỡ lỗi vấn đề xác thực

Kiểm tra xem lỗi đăng nhập có do so sánh mật khẩu không chính xác hay lỗi tạo hash không

Hiểu vòng chi phí

Thử nghiệm với các vòng chi phí khác nhau (8, 10, 12) để cân bằng bảo mật và hiệu suất cho ứng dụng của bạn

Di chuyển mật khẩu

Tạo hash bcrypt khi di chuyển từ các thuật toán băm kém an toàn hơn (MD5, SHA-1) sang bcrypt

Kiểm toán bảo mật

Kiểm tra độ mạnh mật khẩu và xác minh rằng hệ thống của bạn sử dụng vòng chi phí bcrypt phù hợp (tối thiểu 10)

Học tập & Giáo dục

Hiểu cách bcrypt hoạt động, tại sao nó an toàn và vòng chi phí ảnh hưởng đến thời gian tính toán như thế nào

Bcrypt là gì?

Bcrypt là một hàm băm mật khẩu được thiết kế để chậm và tốn kém về mặt tính toán, khiến nó chống lại các cuộc tấn công brute-force. Đây là tiêu chuẩn ngành để lưu trữ mật khẩu an toàn.

Bcrypt hoạt động như thế nào

Bcrypt sử dụng mật mã Blowfish với salt và hệ số chi phí. Hệ số chi phí (vòng) xác định thuật toán thực hiện bao nhiêu lần lặp - mỗi lần tăng đều làm tăng gấp đôi thời gian tính toán, khiến các cuộc tấn công khó hơn theo cấp số nhân.

Tại sao sử dụng Bcrypt?

Không giống như MD5/SHA nhanh (xấu cho mật khẩu), bcrypt được thiết kế cố ý chậm. Điều này làm cho các cuộc tấn công brute-force trở nên không thực tế. Chi phí 10 nghĩa là 2^10 (1.024) lần lặp, mất ~100ms để băm - không đáng kể cho đăng nhập nhưng tàn phá cho kẻ tấn công thử hàng tỷ mật khẩu.

Thực hành bảo mật tốt nhất

Sử dụng chi phí 10-12 cho hầu hết các ứng dụng. Chi phí 10 là mức tối thiểu được khuyến nghị hiện tại. Không bao giờ sử dụng MD5 hoặc SHA-1 cho mật khẩu - chúng đã bị phá vỡ. Không bao giờ lưu trữ mật khẩu văn bản thuần túy. Luôn sử dụng bcrypt, Argon2 hoặc scrypt để băm mật khẩu.

Câu hỏi thường gặp

Tôi nên sử dụng vòng chi phí nào?

Sử dụng chi phí 10 làm mức tối thiểu (tiêu chuẩn hiện tại). Chi phí 12 tốt hơn cho các ứng dụng bảo mật cao. Chi phí 8 quá yếu cho các cuộc tấn công hiện đại. Mỗi lần tăng đều làm tăng gấp đôi thời gian tính toán, vì vậy hãy kiểm tra hiệu suất trên máy chủ của bạn trước khi chọn.

Tôi có thể xác minh hash bcrypt mà không cần khóa bí mật không?

Có! Bcrypt không sử dụng khóa bí mật - nó sử dụng salt được nhúng trong chính hash. Bạn chỉ cần mật khẩu văn bản thuần túy và hash để xác minh. Điều này khác với HMAC.

Tại sao xác minh mất nhiều thời gian như vậy?

Đó là mục đích! Bcrypt được thiết kế cố ý chậm để ngăn chặn các cuộc tấn công brute-force. Nếu mất 100ms để xác minh một mật khẩu, kẻ tấn công sẽ mất nhiều năm để thử hàng tỷ mật khẩu.

Định dạng của hash bcrypt là gì?

Hash bcrypt trông như thế này: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Định dạng: $thuật_toán$chi_phí$salt-hash trong đó thuật toán là 2a/2b (phiên bản bcrypt), chi phí là vòng, và salt-hash là salt và hash kết hợp.

Bcrypt có tốt hơn Argon2 không?

Argon2 mới hơn và về lý thuyết tốt hơn (thắng Password Hashing Competition), nhưng bcrypt vẫn xuất sắc và được hỗ trợ rộng rãi hơn. Cả hai đều an toàn - hãy sử dụng cái mà framework/thư viện của bạn hỗ trợ tốt.

Tôi có thể chuyển đổi hash MD5/SHA sang bcrypt không?

Không, băm là một chiều - bạn không thể chuyển đổi. Bạn phải yêu cầu người dùng đặt lại mật khẩu hoặc băm lại trong lần đăng nhập tiếp theo (băm kép tạm thời: bcrypt(md5(password)), sau đó chỉ bcrypt sau lần đăng nhập tiếp theo).

Công cụ này có lưu trữ mật khẩu của tôi không?

Không! Tất cả băm và xác minh diễn ra trong trình duyệt của bạn bằng thư viện bcrypt.js. Không có gì được gửi đến bất kỳ máy chủ nào. Bạn có thể xác minh điều này bằng cách ngắt kết nối Internet - nó vẫn hoạt động.

Sự khác biệt giữa bcrypt.js và bcrypt phía máy chủ là gì?

Chúng tạo ra hash giống hệt nhau bằng cách sử dụng cùng một thuật toán. Sự khác biệt duy nhất là tốc độ - phía máy chủ (Node.js, PHP) có thể nhanh hơn. Cả hai đều an toàn và tương thích.