DevTulz Online

Generator i weryfikator Bcrypt

10
Wyższy = bezpieczniejszy, ale wolniejszy

Czym jest Bcrypt?

Bcrypt to funkcja haszowania haseł zaprojektowana z myślą o bezpieczeństwie. W przeciwieństwie do szybkich funkcji skrótu (MD5, SHA-1), bcrypt jest celowo powolna dzięki konfigurowalnemu współczynnikowi kosztu — co sprawia, że ataki brute-force są niepraktyczne. Każdy hasz zawiera losowy salt, więc identyczne hasła dają różne hasze. Współczynnik kosztu (rundy) podwaja czas obliczeń dla każdego przyrostu: koszt 10 trwa ~100ms, koszt 12 trwa ~400ms, koszt 14 trwa ~1,5s. Nigdy nie przechowuj haseł jako zwykłego tekstu — zawsze haszuj je za pomocą bcrypt lub podobnej adaptacyjnej funkcji.

Jak używać generatora Bcrypt

  1. Wprowadź hasło na karcie 'Hash' i wybierz współczynnik kosztu (dla większości aplikacji zaleca się 10–12).

  2. Kliknij 'Generuj Hash' — hasz bcrypt pojawia się poniżej i jest gotowy do zapisania w bazie danych.

  3. Aby zweryfikować hasło z istniejącym haszem, przejdź do karty 'Weryfikuj'.

  4. Wprowadź hasło w postaci zwykłego tekstu i zapisany hasz bcrypt, a następnie kliknij 'Weryfikuj'.

  5. Zielony znacznik wyboru potwierdza zgodność; czerwony oznacza, że hasło jest nieprawidłowe.

Często Zadawane Pytania

Jaki współczynnik kosztów powinienem użyć? W przypadku większości aplikacji internetowych współczynnik kosztów 10–12 stanowi dobry balans między bezpieczeństwem a wydajnością. Koszt 10 (~100ms) to minimum zalecane. Używaj 12 (~400ms) dla kont o wysokiej wartości. Nie używaj wartości poniżej 10, ponieważ to przyspiesza ataki siłowe.

Dlaczego dwa skróty tego samego hasła wyglądają inaczej? Bcrypt automatycznie generuje losową 22-znakową sól dla każdego skrótu i osadza ją w wyniku. Oznacza to, że to samo hasło zahaszowane dwa razy da różne ciągi znaków, co jest zamiarem — zapobiega to atakom przy użyciu tabel tęczowych.

Co oznacza format ciągu skrótu bcrypt? Skrót bcrypt wygląda jak $2b$12$SaltSaltSaltSaltSaltSaHashHashHashHashHashHashHashHas. $2b$ to wersja algorytmu, $12$ to współczynnik kosztów, a następnie 22 znaki soli zakodowanej w base64 i 31 znaków skrótu.

Czy mogę użyć tego do weryfikacji haseł z mojej bazy danych? Tak. Wklej przechowywany skrót bcrypt z bazy danych i hasło w postaci zwykłego tekstu na karcie Weryfikacja. Narzędzie potwierdzi, czy się zgadzają, co jest przydatne do debugowania problemów z logowaniem podczas programowania.

Keywords: generator bcrypt, hash bcrypt online, weryfikator bcrypt, haszowanie haseł, współczynnik kosztu bcrypt, haszowanie hasła bcrypt, sprawdzanie bcrypt