DevTulz Online

Bcrypt generátor és ellenőrző

10
Magasabb = biztonságosabb, de lassabb

Mi az a Bcrypt?

A Bcrypt egy jelszó-hash függvény, amelyet biztonsági célokra terveztek. A gyors hash függvényekkel (MD5, SHA-1) ellentétben a bcrypt konfigurálható költségtényezőn keresztül szándékosan lassú — így a brute-force támadások kivitelezhetetlenné válnak. Minden hash tartalmaz egy véletlenszerű salt-ot, így az azonos jelszavak különböző hash-eket eredményeznek. A költségtényező (körök) minden egyes növekményhez megduplázza a számítási időt: 10-es költség ~100ms, 12-es ~400ms, 14-es ~1,5s. Soha ne tároljunk jelszavakat egyszerű szövegként — mindig hash-eljük azokat bcrypt-tel vagy hasonló adaptív függvénnyel.

Hogyan használja a Bcrypt generátort

  1. Adja meg jelszavát a 'Hash' lapon, és válassza ki a költségtényezőt (legtöbb alkalmazáshoz 10–12 ajánlott).

  2. Kattintson a 'Hash generálása' gombra — a bcrypt hash alul jelenik meg és készen áll az adatbázisban való tárolásra.

  3. Meglévő hash-sel való jelszó-ellenőrzéshez váltson az 'Ellenőrzés' lapra.

  4. Adja meg az egyszerű szöveges jelszót és a tárolt bcrypt hash-t, majd kattintson az 'Ellenőrzés' gombra.

  5. A zöld pipa megerősíti az egyezést; a piros azt jelenti, hogy a jelszó helytelen.

Gyakran Ismételt Kérdések

Milyen költségfaktort használjak? A legtöbb webalkalmazáshoz a 10–12 közötti költségfaktor jó egyensúly a biztonság és a teljesítmény között. A 10-es költség (~100 ms) az ajánlott minimum. Használj 12-t (~400 ms) nagy értékű fiókokhoz. Ne menj 10 alá, mivel ez gyorsabbá teszi a brute-force támadásokat.

Miért néznek ki másképp az ugyanaz a jelszó kétszeri hash-elésének eredményei? A Bcrypt automatikusan egy véletlenszerű 22 karakteres salt-ot generál minden hash-hez és beágyazza azt az outputba. Ez azt jelenti, hogy ugyanaz a jelszó kétszeri hash-elésekor eltérő stringeket fog eredményezni, ami szándékos — megakadályozza a rainbow table támadásokat.

Mit jelent a bcrypt hash string formátuma? A bcrypt hash így néz ki: $2b$12$SaltSaltSaltSaltSaltSaHashHashHashHashHashHashHashHas. A $2b$ az algoritmus verzió, a $12$ a költségfaktor, amelyet 22 karakter base64-kódolt salt és 31 karakter hash követ.

Használhatom ezt az adatbázisomban tárolt jelszavak ellenőrzésére? Igen. Illeszd be az adatbázisban tárolt bcrypt hash-t és az egyszerű szöveges jelszót az Ellenőrzés lapra. Az eszköz megerősíti, hogy megfelelnek-e egymásnak, ami hasznos a bejelentkezési problémák debuggolásához a fejlesztés során.

Keywords: bcrypt generátor, bcrypt hash online, bcrypt ellenőrző, jelszó hash-elés, bcrypt költségtényező, jelszó bcrypt hash, bcrypt ellenőrzés