Bcrypt-Hash-Generator & -Prüfer

Was ist Bcrypt-Hash-Generator & -Prüfer?

Der Bcrypt-Hash-Generator & -Prüfer ist ein kostenloses Tool im Browser für die Bcrypt-Passwort-Hash-Funktion – denselben Algorithmus, den unzählige Web-Frameworks nutzen, um Passwörter sicher zu speichern. Backend-Entwickler, Sicherheitsingenieure und Lernende rund um Authentifizierung verwenden es, um einen $2b$-Beispiel-Hash zum Befüllen einer Datenbank zu erzeugen, um zu bestätigen, dass ein gespeicherter Hash wirklich zu einem bekannten Passwort passt, oder um zu sehen, wie der Kostenfaktor den Aufwand verändert. Im Hash-Modus gibst du ein Passwort und einen Kostenfaktor (4-31) ein; ein zufälliges 16-Byte-Salt wird für dich erzeugt und das Ergebnis ist die standardmäßig kodierte Bcrypt-Zeichenkette, die Algorithmusversion, Kosten, Salt und Digest zusammen trägt. Im Prüfmodus fügst du ein Passwort und einen vorhandenen Bcrypt-Hash ein, drückst Prüfen, und das Tool sagt dir, ob sie übereinstimmen. Da Bcrypt absichtlich langsam ist, kann ein hoher Kostenfaktor einen merklichen Moment für die Berechnung brauchen.

So verwendest du Bcrypt-Hash-Generator & -Prüfer

1. Wähle Hashen, um einen neuen Hash zu erstellen, oder Prüfen, um ein Passwort gegen einen vorhandenen zu prüfen.
2. Tippe oder füge im Hash-Modus das Klartext-Passwort ein, das du schützen möchtest.
3. Lege den Kostenfaktor fest (10 ist ein gängiger Standard; höher ist langsamer und stärker).
4. Drücke Hash erzeugen und kopiere die entstandene Bcrypt-Zeichenkette, sobald sie erscheint.
5. Gib im Prüfmodus das Passwort ein und füge den Bcrypt-Hash ein, drücke dann Prüfen, um Übereinstimmung oder Keine Übereinstimmung zu sehen.

Beispiele

Passwort: correct horse battery staple, Kosten: 10

$2b$10$... (ein 60 Zeichen langer Bcrypt-Hash; das Salt ist zufällig, daher unterscheidet er sich jedes Mal)

Passwort: hunter2, Hash: $2b$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy

Übereinstimmung

Passwort: wrongpass, Hash: $2b$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy

Keine Übereinstimmung

Häufig gestellte Fragen

Werden meine Passwörter oder Hashes irgendwohin gesendet?

Nein. Hashen und Prüfen laufen vollständig in deinem Browser mit einem WebAssembly-Build von Bcrypt. Nichts, was du eingibst, wird auf einen Server hochgeladen oder dort gespeichert, sodass das Tool offline weiterarbeitet und deine Passwörter die Seite nie verlassen.

Welchen Kostenfaktor sollte ich verwenden?

Der Kostenfaktor legt fest, wie viele Runden Bcrypt durchführt; jede Erhöhung verdoppelt den Aufwand etwa. Ein Wert von 10-12 ist für Web-Apps üblich. Höhere Werte widerstehen Brute-Force besser, brauchen aber länger zur Berechnung, sodass sehr hohe Zahlen den Browser kurz einfrieren lassen können.

Warum ändert sich der Hash bei demselben Passwort jedes Mal?

Für jeden Hash wird ein frisches zufälliges 16-Byte-Salt erzeugt, und das Salt ist im Ergebnis eingebettet. Unterschiedliche Salts erzeugen für dasselbe Passwort unterschiedliche Hashes, was Bcrypt genau sicher macht. Die Prüfung gelingt trotzdem, weil das Salt wieder aus dem gespeicherten Hash ausgelesen wird.

Warum meldet die Prüfung, dass mein Hash ungültig ist?

Die Prüfung erwartet einen vollständigen Bcrypt-Hash in der standardmäßig kodierten Form, der typischerweise mit $2a$, $2b$ oder $2y$ beginnt, gefolgt von den Kosten und 53 Zeichen Salt plus Digest. Fehlt oder verändert sich ein Teil der Zeichenkette, kann das Tool das Salt nicht lesen und meldet einen Fehler.

Kann ich diesen Hash direkt in meiner Anwendung verwenden?

Ja. Die Ausgabe ist eine standardmäßig kodierte Bcrypt-Zeichenkette, die mit gängigen Bcrypt-Bibliotheken kompatibel ist, sodass du sie speichern und auf deinem Server dagegen prüfen kannst. Erzeuge bei echten Systemen den Hash dort, wo das Passwort eingegeben wird, statt ihn durch andere Tools zu kopieren.