Générateur et vérificateur de hachage Bcrypt

Qu'est-ce que Générateur et vérificateur de hachage Bcrypt ?

Le Générateur et vérificateur de hachage Bcrypt est un outil gratuit dans le navigateur pour la fonction de hachage de mots de passe bcrypt, le même algorithme qu'utilisent d'innombrables frameworks web pour stocker les mots de passe en toute sécurité. Les développeurs backend, les ingénieurs sécurité et celles et ceux qui apprennent l'authentification s'en servent pour produire un hachage $2b$ d'exemple afin d'alimenter une base de données, pour confirmer qu'un hachage stocké correspond bien à un mot de passe connu, ou pour voir comment le facteur de coût modifie le travail nécessaire. En mode Hacher, tu saisis un mot de passe et un facteur de coût (4-31) ; un sel aléatoire de 16 octets est généré pour toi et le résultat est la chaîne bcrypt encodée standard qui réunit la version de l'algorithme, le coût, le sel et le condensé. En mode Vérifier, tu colles un mot de passe et un hachage bcrypt existant, tu appuies sur Vérifier, et l'outil t'indique s'ils correspondent. Comme bcrypt est volontairement lent, un facteur de coût élevé peut prendre un moment perceptible à calculer.

Comment utiliser Générateur et vérificateur de hachage Bcrypt

1. Choisis Hacher pour créer un nouveau hachage, ou Vérifier pour comparer un mot de passe à un hachage existant.
2. En mode Hacher, saisis ou colle le mot de passe en texte clair que tu veux protéger.
3. Règle le facteur de coût (10 est une valeur par défaut courante ; plus c'est élevé, plus c'est lent et robuste).
4. Appuie sur Générer le hachage et copie la chaîne bcrypt obtenue dès qu'elle apparaît.
5. En mode Vérifier, saisis le mot de passe et colle le hachage bcrypt, puis appuie sur Vérifier pour voir Correspond ou Ne correspond pas.

Exemples

mot de passe : correct horse battery staple, coût : 10

$2b$10$... (un hachage bcrypt de 60 caractères ; le sel étant aléatoire, il diffère à chaque fois)

mot de passe : hunter2, hachage : $2b$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy

Correspond

mot de passe : wrongpass, hachage : $2b$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy

Ne correspond pas

Questions fréquentes

Mes mots de passe ou mes hachages sont-ils envoyés quelque part ?

Non. Le hachage et la vérification s'exécutent entièrement dans ton navigateur à l'aide d'une compilation WebAssembly de bcrypt. Rien de ce que tu saisis n'est téléversé ni stocké sur un serveur, donc l'outil continue de fonctionner hors ligne et tes mots de passe ne quittent jamais la page.

Quel facteur de coût devrais-je utiliser ?

Le facteur de coût détermine le nombre de tours qu'effectue bcrypt ; chaque incrément double à peu près le travail. Une valeur de 10-12 est courante pour les applications web. Des valeurs plus élevées résistent mieux à la force brute mais prennent plus de temps à calculer, si bien que des nombres très élevés peuvent figer brièvement le navigateur.

Pourquoi le hachage change-t-il à chaque fois pour le même mot de passe ?

Un nouveau sel aléatoire de 16 octets est généré pour chaque hachage, et le sel est intégré au résultat. Des sels différents produisent des hachages différents pour le même mot de passe, ce qui est précisément ce qui rend bcrypt sûr. La vérification réussit quand même, car le sel est relu depuis le hachage stocké.

Pourquoi la vérification dit-elle que mon hachage est invalide ?

La vérification attend un hachage bcrypt complet sous la forme encodée standard, commençant généralement par $2a$, $2b$ ou $2y$ suivi du coût et de 53 caractères de sel plus condensé. Si une partie de la chaîne est manquante ou modifiée, l'outil ne peut pas lire le sel et signale une erreur.

Puis-je utiliser ce hachage directement dans mon application ?

Oui. La sortie est une chaîne bcrypt encodée standard compatible avec les bibliothèques bcrypt courantes, donc tu peux la stocker et la vérifier sur ton serveur. Pour les systèmes réels, génère le hachage là où le mot de passe est saisi plutôt que de le copier à travers d'autres outils.