Generatore di hash bcrypt per password

Genera hash bcrypt delle password localmente con costo configurabile, salt nuovi e output pronto da copiare per sistemi di autenticazione.

Password e costo
Genera un hash bcrypt localmente con un nuovo salt casuale ogni volta.

La password non viene mai salvata e l'hashing viene eseguito in questo browser.

Valori di costo più alti sono più lenti e più difficili da forzare con brute force. Questo strumento nel browser limita il costo a 4-15.

Hash bcrypt
L'output include la versione bcrypt, il costo, il salt e il checksum nella stringa hash standard.
Nessun hash ancora generato
Inserisci una password e scegli un fattore di costo, quindi genera un hash.

Che cos’è bcrypt?

bcrypt è un algoritmo di hashing delle password progettato per l’archiviazione delle password. Combina la password con un salt casuale e ripete operazioni costose in base a un fattore di costo, quindi gli aggressori hanno bisogno di più tempo per provare ogni ipotesi.

Quando usare questo strumento

  • Genera un hash bcrypt per un account di test, uno script di seed o un ambiente di sviluppo locale.
  • Confronta come fattori di costo diversi cambiano il formato dell’output e il tempo di esecuzione.
  • Crea un hash pronto da copiare senza inviare la password a un server.

Come scegliere il fattore di costo

Valori di costo più alti sono più lenti e di solito più sicuri, ma rendono anche più lento ogni tentativo di accesso per la tua applicazione. Un costo intorno a 10-12 è comune per i sistemi interattivi; valori più alti possono essere ragionevoli per flussi di lavoro riservati agli amministratori o a basso volume. Testa il costo sullo stesso tipo di hardware che verificherà la password.

Cosa tenere presente

  • Ogni hash generato usa un nuovo salt casuale, quindi l’output cambia anche quando password e costo restano uguali.
  • Memorizza l’hash bcrypt, non la password originale.
  • Usa bcrypt per le password, non per checksum di file, firme o hashing generico.
  • Mantieni costante il comportamento di verifica ed evita di rivelare se un account utente esiste.