DevTulz Online

Bcrypt generaator ja kontrollija

10
Kõrgem = turvalisem, kuid aeglasem

Mis on Bcrypt?

Bcrypt on parooliräsimise funktsioon, mis on loodud turvalisuse jaoks. Erinevalt kiirest räsifunktsioonidest (MD5, SHA-1) on bcrypt seadistatava kuluteguri kaudu tahtlikult aeglane — muutes jõhkra jõuga rünnakud ebapraktilisteks. Iga räsi sisaldab juhuslikku salt-i, seega identsed paroolid toodavad erinevaid räsi. Kulutegur (voorud) kahekordistab arvutusaega iga sammuga: kulu 10 võtab ~100ms, kulu 12 võtab ~400ms, kulu 14 võtab ~1,5s. Ärge kunagi salvestage paroole lihttekstina — räsige need alati bcrypt-iga või sarnase adaptiivsete funktsiooniga.

Kuidas kasutada Bcrypt generaatorit

  1. Sisestage oma parool vahekaardil 'Hash' ja valige kulutegur (enamiku rakenduste jaoks on soovitatav 10–12).

  2. Klõpsake 'Genereeri Hash' — bcrypt räsi ilmub alla ja on valmis teie andmebaasi salvestamiseks.

  3. Parooli kontrollimiseks olemasoleva räsi suhtes lülituge vahekaardile 'Kontrolli'.

  4. Sisestage lihtteksti parool ja salvestatud bcrypt räsi, seejärel klõpsake 'Kontrolli'.

  5. Roheline linnuke kinnitab vastet; punane tähendab, et parool on vale.

Korduma kippuvad küsimused

Millist kulukoeffitsienti peaksin kasutama? Enamikul veebirakendustest on kulukoefitsient 10–12 hea tasakaal turvalisuse ja jõudluse vahel. Kulukoefitsient 10 (~100ms) on soovitatav miinimum. Kasutage 12 (~400ms) kõrge väärtusega kontode jaoks. Vältige minekut alla 10, sest see teeb brute-force rünnakud kiiremaks.

Miks näevad sama parooliga räsitud kaks räsi välja erinevad? Bcrypt genereerib automaatselt iga räsi jaoks juhusliku 22-tähemärgise soola ja manustab selle väljundisse. See tähendab, et sama parool räsitud kaks korda annab erinevad stringid, et takistada rainbow table rünnakuid.

Mida tähendab bcrypti räsi stringi vorming? Bcrypti räsi näeb välja nagu $2b$12$SaltSaltSaltSaltSaltSaHashHashHashHashHashHashHashHas. $2b$ on algoritmi versioon, $12$ on kulukoefitsient, millele järgneb 22 base64-kodeeritud soolamärki ja 31 räsimärki.

Kas saan seda kasutada oma andmebaasest pärit paroolide kontrollimiseks? Jah. Kleepige oma andmebaasist salvestatud bcrypti räsi ja selge teksti parool Kontrolli vahekaardile. Tööriist kinnitab, kas need sobivad kokku, mis on arendamise ajal sisselogimisprobleemide silumisel kasulik.

Keywords: bcrypt generaator, bcrypt räsi veebis, bcrypt kontrollija, paroolide räsimine, bcrypt kulutegur, parooli räsimine bcrypt, bcrypt kontroll