bcrypt-Passwort-Hash-Generator

Generieren Sie bcrypt-Passwort-Hashes lokal mit konfigurierbarem Kostenfaktor, frischem Salt und kopierfertiger Ausgabe für Authentifizierungssysteme.

Passwort und Kostenfaktor
Erzeugen Sie lokal einen bcrypt-Hash mit jeweils frischem zufälligem Salt.

Das Passwort wird nie gespeichert und die Hash-Berechnung läuft in diesem Browser.

Höhere Kostenwerte sind langsamer und schwerer per Brute Force zu knacken. Dieses Browser-Tool begrenzt den Kostenfaktor auf 4-15.

bcrypt-Hash
Die Ausgabe enthält die bcrypt-Version, den Kostenfaktor, das Salt und die Prüfsumme in der standardmäßigen Hash-Zeichenfolge.
Noch kein Hash erzeugt
Geben Sie ein Passwort ein, wählen Sie einen Kostenfaktor und erzeugen Sie dann einen Hash.

Was ist bcrypt?

bcrypt ist ein Passwort-Hashing-Algorithmus, der für die Speicherung von Passwörtern entwickelt wurde. Er kombiniert das Passwort mit einem zufälligen Salt und wiederholt anhand eines Kostenfaktors rechenintensive Arbeitsschritte, sodass Angreifer mehr Zeit benötigen, um jeden Versuch zu testen.

Wann dieses Tool verwenden

  • Erzeugen Sie einen bcrypt-Hash für ein Testkonto, ein Seed-Skript oder eine lokale Entwicklungsumgebung.
  • Vergleichen Sie, wie unterschiedliche Kostenfaktoren das Ausgabeformat und die Laufzeit verändern.
  • Erstellen Sie einen kopierfertigen Hash, ohne das Passwort an einen Server zu senden.

So wählen Sie den Kostenfaktor

Höhere Kostenwerte sind langsamer und in der Regel sicherer, verlangsamen aber auch jeden Anmeldeversuch in Ihrer Anwendung. Ein Kostenfaktor um 10-12 ist für interaktive Systeme üblich; höhere Werte können für reine Admin- oder wenig frequentierte Workflows sinnvoll sein. Testen Sie den Kostenfaktor auf derselben Art von Hardware, die später das Passwort verifizieren wird.

Was Sie beachten sollten

  • Jeder erzeugte Hash verwendet ein frisches zufälliges Salt, daher ändert sich die Ausgabe auch dann, wenn Passwort und Kostenfaktor gleich bleiben.
  • Speichern Sie den bcrypt-Hash, nicht das ursprüngliche Passwort.
  • Verwenden Sie bcrypt für Passwörter, nicht für Datei-Prüfsummen, Signaturen oder allgemeines Hashing.
  • Halten Sie das Verifizierungsverhalten konstant und vermeiden Sie offenzulegen, ob ein Benutzerkonto existiert.