Bcrypt测试工具

密码哈希生成与验证工具

生成安全的bcrypt哈希并验证密码身份验证。非常适合测试登录系统和理解bcrypt成本轮次。

使用方法

选择模式
选择"验证"检查密码是否与哈希匹配，或选择"生成"创建新的bcrypt哈希
输入密码
输入明文密码和哈希（用于验证）或仅输入密码（用于生成）
获取结果
点击按钮验证匹配或生成哈希。生成时可调整成本轮次（推荐值为10）

所有哈希和验证操作都使用bcrypt.js在您的浏览器中完成。不会将密码发送到服务器。

bcryptテスター

测试明文密码是否与bcrypt哈希匹配。用于调试身份验证问题。

明文密码

Bcrypt哈希

从明文密码创建安全的bcrypt哈希。成本越高越安全但速度越慢。

明文密码

成本轮次

成本越高，速度呈指数级变慢，但对暴力破解攻击的抵抗力更强

使用场景

测试登录系统

在部署到生产环境之前，验证您的身份验证代码是否正确地哈希和比较密码

调试身份验证问题

检查登录失败是由于密码比较错误还是哈希生成错误引起的

理解成本轮次

尝试不同的成本轮次(8、10、12)以平衡应用程序的安全性和性能

密码迁移

从安全性较低的哈希算法(MD5、SHA-1)迁移到bcrypt时生成bcrypt哈希

安全审计

测试密码强度并验证您的系统使用适当的bcrypt成本轮次（最低10）

学习与教育

了解bcrypt的工作原理、为什么安全以及成本轮次如何影响计算时间

什么是Bcrypt？

Bcrypt是一种密码哈希函数，设计为缓慢且计算成本高，使其能够抵抗暴力破解攻击。它是安全存储密码的行业标准。

Bcrypt的工作原理

Bcrypt使用Blowfish密码与盐值和成本因子。成本因子（轮次）决定算法执行多少次迭代 - 每增加一次，计算时间加倍，使攻击呈指数级困难。

为什么使用Bcrypt？

与快速的MD5/SHA（对密码不利）不同，bcrypt故意设计得很慢。这使得暴力破解攻击变得不切实际。成本为10意味着2^10（1,024）次迭代，哈希需要约100ms - 对于登录来说可以忽略不计，但对于尝试数十亿密码的攻击者来说是致命的。

安全最佳实践

大多数应用程序使用成本10-12。成本10是当前推荐的最低值。切勿将MD5或SHA-1用于密码 - 它们已被破解。切勿存储明文密码。始终使用bcrypt、Argon2或scrypt进行密码哈希。

常见问题

我应该使用什么成本轮次？

使用成本10作为最低值（当前标准）。成本12更适合高安全性应用程序。成本8对于现代攻击来说太弱了。每增加一次，计算时间加倍，因此在选择之前请在服务器上测试性能。

可以在没有密钥的情况下验证bcrypt哈希吗？

可以！Bcrypt不使用密钥 - 它使用嵌入在哈希本身中的盐值。您只需要明文密码和哈希即可验证。这与HMAC不同。

为什么验证需要这么长时间？

这就是重点！Bcrypt故意设计得很慢以防止暴力破解攻击。如果验证一个密码需要100ms，那么攻击者尝试数十亿密码需要数年时间。

bcrypt哈希的格式是什么？

Bcrypt哈希如下所示：$2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy。格式：$算法$成本$盐值哈希，其中算法是2a/2b（bcrypt版本），成本是轮次，盐值哈希是组合的盐值和哈希。

bcrypt比Argon2更好吗？

Argon2更新，理论上更好（赢得了密码哈希竞赛），但bcrypt仍然很出色且得到更广泛的支持。两者都是安全的 - 使用您的框架/库良好支持的那个。

可以将MD5/SHA哈希转换为bcrypt吗？

不可以，哈希是单向的 - 无法转换。您必须要求用户重置密码或在下次登录时重新哈希（临时双重哈希：bcrypt(md5(password))，然后在下次登录后仅使用bcrypt）。

此工具会存储我的密码吗？

不会！所有哈希和验证都使用bcrypt.js库在您的浏览器中进行。不会向任何服务器发送任何内容。您可以通过断开互联网连接来验证这一点 - 它仍然可以工作。

bcrypt.js与服务器端bcrypt有什么区别？

它们使用相同的算法生成相同的哈希。唯一的区别是速度 - 服务器端（Node.js、PHP）可能更快。两者都是安全且兼容的。