DevTulz Online

Bcrypt generatorius ir tikrintuvas

10
Didesnis = saugesnis, bet lėtesnis

Kas yra Bcrypt?

Bcrypt yra slaptažodžių maišymo funkcija, sukurta saugumui. Skirtingai nuo greito maišymo funkcijų (MD5, SHA-1), bcrypt yra sąmoningai lėtas per konfigūruojamą kainos faktorių — padarydamas brute-force atakas nepraktiškomis. Kiekviena maiša apima atsitiktinę salt, todėl identiški slaptažodžiai gamina skirtingas maišas. Kainos faktorius (raundai) padvigubina skaičiavimo laiką kiekvienam padidinimui: kaina 10 trunka ~100ms, kaina 12 trunka ~400ms, kaina 14 trunka ~1,5s. Niekada nesaugokite slaptažodžių kaip paprastą tekstą — visada maišykite juos su bcrypt arba panašia adaptyvia funkcija.

Kaip naudoti Bcrypt generatorių

  1. Skirtuke 'Hash' įveskite slaptažodį ir pasirinkite kainos faktorių (daugumai programų rekomenduojama 10–12).

  2. Spustelėkite 'Generuoti Hash' — bcrypt maiša pasirodo apačioje ir yra paruošta saugoti jūsų duomenų bazėje.

  3. Norėdami patikrinti slaptažodį prieš esamą maišą, perjunkite į skirtuką 'Tikrinti'.

  4. Įveskite paprastojo teksto slaptažodį ir išsaugotą bcrypt maišą, tada spustelėkite 'Tikrinti'.

  5. Žalia varnelė patvirtina atitikimą; raudona reiškia, kad slaptažodis neteisingas.

Dažnai užduodami klausimai

Kokį cost factor turėčiau naudoti? Daugeliui žiniatinklio programų, cost factor 10–12 yra geras saugos ir našumo balansas. Cost 10 (~100ms) yra minimalus rekomenduojamas. Naudokite 12 (~400ms) aukštos vertės sąskaitoms. Vengite mažinti žemiau 10, nes tai greitina brute-force atakas.

Kodėl du to paties slaptažodžio hash-ai atrodo skirtingai? Bcrypt automatiškai generuoja atsitiktinę 22 simbolių salt kiekvienam hash-ui ir ją uždeda į išvestį. Tas pats slaptažodis, hash-intas du kartus, sudarys skirtingas eilutes — tai pagal projektą skirta, kad būtų apsaugota nuo rainbow table atakom.

Ką reiškia bcrypt hash eilutės formatas? Bcrypt hash atrodo kaip $2b$12$SaltSaltSaltSaltSaltSaHashHashHashHashHashHashHashHas. $2b$ yra algoritmo versija, $12$ yra cost factor, po kurio seka 22 base64-koduoti salt simboliai ir 31 hash reikšmė.

Ar galiu naudoti tai slaptažodžiams iš savo duomenų bazės patikrinti? Taip. Įklijuokite saugomą bcrypt hash iš savo duomenų bazės ir paprasto teksto slaptažodį į Patikrinti skirtuką. Įrankis patvirtins, ar jie sutampa, o tai naudinga prisijungimo problemoms šalinti programavimo metu.

Keywords: bcrypt generatorius, bcrypt maiša internete, bcrypt tikrintuvas, slaptažodžių maišymas, bcrypt kainos faktorius, slaptažodžio bcrypt maiša, bcrypt tikrinimas