DevTulz Online

Generatore e verificatore Bcrypt

10
Più alto = più sicuro ma più lento

Cos'è Bcrypt?

Bcrypt è una funzione di hashing delle password progettata per la sicurezza. A differenza delle funzioni di hash veloci (MD5, SHA-1), bcrypt è intenzionalmente lenta tramite un fattore di costo configurabile — rendendo gli attacchi brute-force impraticabili. Ogni hash include un salt casuale, quindi password identiche producono hash diversi. Il fattore di costo (round) raddoppia il tempo di calcolo per ogni incremento: costo 10 richiede ~100ms, costo 12 richiede ~400ms, costo 14 richiede ~1,5s. Non memorizzare mai le password in testo in chiaro — eseguire sempre l'hash con bcrypt o una funzione adattiva simile.

Come usare il generatore Bcrypt

  1. Inserisci la tua password nella scheda 'Hash' e scegli un fattore di costo (10–12 è consigliato per la maggior parte delle app).

  2. Clicca su 'Genera Hash' — l'hash bcrypt appare in basso ed è pronto per essere salvato nel tuo database.

  3. Per verificare una password contro un hash esistente, passa alla scheda 'Verifica'.

  4. Inserisci la password in testo in chiaro e l'hash bcrypt memorizzato, poi clicca su 'Verifica'.

  5. Un segno di spunta verde conferma la corrispondenza; il rosso significa che la password è errata.

Domande frequenti

Quale fattore di costo dovrei usare? Per la maggior parte delle applicazioni web, un fattore di costo di 10–12 è un buon equilibrio tra sicurezza e prestazioni. Costo 10 (~100ms) è il minimo consigliato. Usa 12 (~400ms) per gli account di alto valore. Evita di scendere sotto 10, poiché rende gli attacchi brute-force più veloci.

Perché due hash della stessa password sono diversi? Bcrypt genera automaticamente un salt casuale di 22 caratteri per ogni hash e lo incorpora nell'output. Ciò significa che la stessa password sottoposta a hash due volte produrrà stringhe diverse, il che è volutamente così — previene gli attacchi rainbow table.

Che cosa significa il formato della stringa hash bcrypt? Un hash bcrypt assomiglia a $2b$12$SaltSaltSaltSaltSaltSaHashHashHashHashHashHashHashHas. $2b$ è la versione dell'algoritmo, $12$ è il fattore di costo, seguito da 22 caratteri di salt con codifica base64 e 31 caratteri di hash.

Posso usarlo per verificare le password dal mio database? Sì. Incolla l'hash bcrypt archiviato dal tuo database e la password in testo semplice nella scheda Verifica. Lo strumento confermerà se corrispondono, il che è utile per il debug dei problemi di accesso durante lo sviluppo.

Keywords: generatore bcrypt, hash bcrypt online, verificatore bcrypt, hashing password, fattore di costo bcrypt, hash password bcrypt, controllo bcrypt