ما هو bcrypt؟
bcrypt هي خوارزمية تجزئة كلمات مرور مصممة لتخزين كلمات المرور. تجمع كلمة المرور مع ملح عشوائي وتكرر عملًا مكلفًا بناءً على عامل تكلفة، بحيث يحتاج المهاجمون إلى وقت أطول لاختبار كل تخمين.
متى تستخدم هذه الأداة
- أنشئ تجزئة bcrypt لحساب اختبار، أو سكربت تهيئة بيانات، أو بيئة تطوير محلية.
- قارن كيف تغيّر عوامل التكلفة المختلفة تنسيق الإخراج ووقت التشغيل.
- أنشئ تجزئة جاهزة للنسخ من دون إرسال كلمة المرور إلى خادم.
كيفية اختيار عامل التكلفة
قيم التكلفة الأعلى أبطأ وعادةً أكثر أمانًا، لكنها تجعل كل محاولة تسجيل دخول أبطأ أيضًا في تطبيقك. تكون تكلفة حول 10-12 شائعة في الأنظمة التفاعلية؛ وقد تكون القيم الأعلى مناسبة لتدفقات عمل خاصة بالمسؤولين فقط أو قليلة الاستخدام. اختبر التكلفة على النوع نفسه من العتاد الذي سيتحقق من كلمة المرور.
ما الذي يجب مراعاته
- تستخدم كل تجزئة مُنشأة ملحًا عشوائيًا جديدًا، لذلك يتغير الإخراج حتى عندما تبقى كلمة المرور والتكلفة كما هما.
- خزّن تجزئة bcrypt، وليس كلمة المرور الأصلية.
- استخدم bcrypt لكلمات المرور، وليس لمجاميع تحقق الملفات أو التواقيع أو التجزئة العامة.
- أبقِ سلوك التحقق ثابتًا وتجنب كشف ما إذا كان حساب مستخدم موجودًا.