Bcrypt測試工具

密碼雜湊生成與驗證工具

生成安全的bcrypt雜湊並驗證密碼身份驗證。非常適合測試登入系統和理解bcrypt成本輪次。

使用方法

選擇模式
選擇「驗證」檢查密碼是否與雜湊匹配，或選擇「生成」建立新的bcrypt雜湊
輸入密碼
輸入明文密碼和雜湊（用於驗證）或僅輸入密碼（用於生成）
獲取結果
點擊按鈕驗證匹配或生成雜湊。生成時可調整成本輪次（推薦值為10）

所有雜湊和驗證操作都使用bcrypt.js在您的瀏覽器中完成。不會將密碼傳送到伺服器。

bcryptテスター

測試明文密碼是否與bcrypt雜湊匹配。用於除錯身份驗證問題。

明文密碼

Bcrypt雜湊

從明文密碼建立安全的bcrypt雜湊。成本越高越安全但速度越慢。

明文密碼

成本輪次

成本越高，速度呈指數級變慢，但對暴力破解攻擊的抵抗力更強

使用場景

測試登入系統

在部署到生產環境之前，驗證您的身份驗證程式碼是否正確地雜湊和比較密碼

除錯身份驗證問題

檢查登入失敗是由於密碼比較錯誤還是雜湊生成錯誤引起的

理解成本輪次

嘗試不同的成本輪次(8、10、12)以平衡應用程式的安全性和效能

密碼遷移

從安全性較低的雜湊演算法(MD5、SHA-1)遷移到bcrypt時生成bcrypt雜湊

安全稽核

測試密碼強度並驗證您的系統使用適當的bcrypt成本輪次（最低10）

學習與教育

了解bcrypt的工作原理、為什麼安全以及成本輪次如何影響計算時間

什麼是Bcrypt？

Bcrypt是一種密碼雜湊函式，設計為緩慢且計算成本高，使其能夠抵抗暴力破解攻擊。它是安全儲存密碼的行業標準。

Bcrypt的工作原理

Bcrypt使用Blowfish密碼與鹽值和成本因子。成本因子（輪次）決定演算法執行多少次迭代 - 每增加一次，計算時間加倍，使攻擊呈指數級困難。

為什麼使用Bcrypt？

與快速的MD5/SHA（對密碼不利）不同，bcrypt刻意設計得很慢。這使得暴力破解攻擊變得不切實際。成本為10意味著2^10（1,024）次迭代，雜湊需要約100ms - 對於登入來說可以忽略不計，但對於嘗試數十億密碼的攻擊者來說是致命的。

安全最佳實踐

大多數應用程式使用成本10-12。成本10是目前推薦的最低值。切勿將MD5或SHA-1用於密碼 - 它們已被破解。切勿儲存明文密碼。始終使用bcrypt、Argon2或scrypt進行密碼雜湊。

常見問題

我應該使用什麼成本輪次？

使用成本10作為最低值（目前標準）。成本12更適合高安全性應用程式。成本8對於現代攻擊來說太弱了。每增加一次，計算時間加倍，因此在選擇之前請在伺服器上測試效能。

可以在沒有金鑰的情況下驗證bcrypt雜湊嗎？

可以！Bcrypt不使用金鑰 - 它使用嵌入在雜湊本身中的鹽值。您只需要明文密碼和雜湊即可驗證。這與HMAC不同。

為什麼驗證需要這麼長時間？

這就是重點！Bcrypt刻意設計得很慢以防止暴力破解攻擊。如果驗證一個密碼需要100ms，那麼攻擊者嘗試數十億密碼需要數年時間。

bcrypt雜湊的格式是什麼？

Bcrypt雜湊如下所示：$2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy。格式：$演算法$成本$鹽值雜湊，其中演算法是2a/2b（bcrypt版本），成本是輪次，鹽值雜湊是組合的鹽值和雜湊。

bcrypt比Argon2更好嗎？

Argon2更新，理論上更好（贏得了密碼雜湊競賽），但bcrypt仍然很出色且得到更廣泛的支援。兩者都是安全的 - 使用您的框架/函式庫良好支援的那個。

可以將MD5/SHA雜湊轉換為bcrypt嗎？

不可以，雜湊是單向的 - 無法轉換。您必須要求使用者重設密碼或在下次登入時重新雜湊（臨時雙重雜湊：bcrypt(md5(password))，然後在下次登入後僅使用bcrypt）。

此工具會儲存我的密碼嗎？

不會！所有雜湊和驗證都使用bcrypt.js函式庫在您的瀏覽器中進行。不會向任何伺服器傳送任何內容。您可以透過中斷網際網路連線來驗證這一點 - 它仍然可以運作。

bcrypt.js與伺服器端bcrypt有什麼區別？

它們使用相同的演算法生成相同的雜湊。唯一的區別是速度 - 伺服器端（Node.js、PHP）可能更快。兩者都是安全且相容的。