DevTulz Online

Генератор і верифікатор Bcrypt

10
Вище = безпечніше, але повільніше

Що таке Bcrypt?

Bcrypt — це функція хешування паролів, розроблена для забезпечення безпеки. На відміну від швидких хеш-функцій (MD5, SHA-1), bcrypt навмисно повільний завдяки налаштовуваному коефіцієнту вартості — роблячи атаки грубої сили непрактичними. Кожен хеш містить випадкову salt, тому однакові паролі дають різні хеші. Коефіцієнт вартості (раунди) подвоює час обчислення для кожного кроку: вартість 10 займає ~100ms, вартість 12 — ~400ms, вартість 14 — ~1,5s. Ніколи не зберігайте паролі у відкритому вигляді — завжди хешуйте їх за допомогою bcrypt або аналогічної адаптивної функції.

Як використовувати генератор Bcrypt

  1. Введіть пароль на вкладці 'Hash' і оберіть коефіцієнт вартості (для більшості застосунків рекомендується 10–12).

  2. Натисніть 'Створити Hash' — bcrypt-хеш з'явиться нижче та буде готовий до збереження у вашій базі даних.

  3. Щоб перевірити пароль щодо існуючого хешу, перейдіть на вкладку 'Перевірити'.

  4. Введіть пароль у відкритому вигляді та збережений bcrypt-хеш, потім натисніть 'Перевірити'.

  5. Зелена галочка підтверджує збіг; червона означає, що пароль невірний.

Часто задавані питання

Який коефіцієнт вартості мені слід використовувати? Для більшості веб-додатків коефіцієнт вартості 10–12 є гарним балансом між безпекою та продуктивністю. Коефіцієнт 10 (~100мс) є мінімально рекомендованим. Використовуйте 12 (~400мс) для високовартісних облікових записів. Уникайте значень нижче 10, оскільки це прискорює атаки методом перебору.

Чому два геші одного пароля виглядають по-різному? Bcrypt автоматично генерує випадковий 22-символьний сіль для кожного гешу та вбудовує його у результат. Це означає, що один і той же пароль, гешований двічі, створить різні рядки, що зроблено навмисно — це запобігає атакам радужних таблиць.

Що означає формат рядка гешу bcrypt? Геш bcrypt виглядає як $2b$12$SaltSaltSaltSaltSaltSaHashHashHashHashHashHashHashHas. $2b$ — це версія алгоритму, $12$ — коефіцієнт вартості, далі йдуть 22 символи сілі, закодованої в base64, та 31 символ гешу.

Чи можу я використовувати це для перевірки паролів з моєї бази даних? Так. Вставте збережений геш bcrypt з вашої бази даних та пароль у простому тексті на вкладку Перевірити. Інструмент підтвердить, чи вони збігаються, що корисно для налагодження проблем з входом під час розробки.

Keywords: генератор bcrypt, bcrypt хеш онлайн, верифікатор bcrypt, хешування паролів, коефіцієнт вартості bcrypt, хеш пароля bcrypt, перевірка bcrypt