Generatore e Verificatore di Hash Bcrypt

Cos'è Generatore e Verificatore di Hash Bcrypt?

Il Generatore e Verificatore di Hash Bcrypt è uno strumento gratuito nel browser per la funzione di hashing delle password bcrypt, lo stesso algoritmo usato da innumerevoli framework web per memorizzare le password in modo sicuro. Sviluppatori backend, ingegneri della sicurezza e chi sta imparando l'autenticazione lo usano per produrre un hash $2b$ di esempio con cui popolare un database, per confermare che un hash memorizzato corrisponda davvero a una password nota, o per vedere come il fattore di costo cambia il lavoro richiesto. In modalità Hash inserisci una password e un fattore di costo (4-31); viene generato per te un sale casuale di 16 byte e il risultato è la stringa bcrypt codificata standard che porta insieme la versione dell'algoritmo, il costo, il sale e il digest. In modalità Verifica incolli una password e un hash bcrypt esistente, premi Verifica e lo strumento ti dice se corrispondono. Poiché bcrypt è deliberatamente lento, un fattore di costo elevato può richiedere un momento percepibile per il calcolo.

Come usare Generatore e Verificatore di Hash Bcrypt

1. Scegli Hash per creare un nuovo hash, oppure Verifica per controllare una password rispetto a uno esistente.
2. In modalità Hash, digita o incolla la password in testo in chiaro che vuoi proteggere.
3. Imposta il fattore di costo (10 è un valore predefinito comune; più alto è più lento e più forte).
4. Premi Genera hash e copia la stringa bcrypt risultante non appena appare.
5. In modalità Verifica, inserisci la password e incolla l'hash bcrypt, poi premi Verifica per vedere Corrisponde o Non corrisponde.

Esempi

password: correct horse battery staple, costo: 10

$2b$10$... (un hash bcrypt di 60 caratteri; il sale è casuale, quindi differisce ogni volta)

password: hunter2, hash: $2b$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy

Corrisponde

password: wrongpass, hash: $2b$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy

Non corrisponde

Domande frequenti

Le mie password o gli hash vengono inviati da qualche parte?

No. L'hashing e la verifica vengono eseguiti interamente nel tuo browser usando una build WebAssembly di bcrypt. Nulla di ciò che digiti viene caricato o memorizzato su alcun server, quindi lo strumento continua a funzionare offline e le tue password non lasciano mai la pagina.

Quale fattore di costo dovrei usare?

Il fattore di costo stabilisce quanti round esegue bcrypt; ogni incremento raddoppia all'incirca il lavoro. Un valore di 10-12 è comune per le app web. Valori più alti resistono meglio alla forza bruta ma richiedono più tempo per il calcolo, quindi numeri molto alti possono bloccare brevemente il browser.

Perché l'hash cambia ogni volta per la stessa password?

Un nuovo sale casuale di 16 byte viene generato per ogni hash, e il sale è incorporato nel risultato. Sali diversi producono hash diversi per la stessa password, ed è proprio questo che rende bcrypt sicuro. La verifica riesce comunque perché il sale viene riletto dall'hash memorizzato.

Perché la verifica dice che il mio hash non è valido?

La verifica si aspetta un hash bcrypt completo nella forma codificata standard, che di solito inizia con $2a$, $2b$ o $2y$ seguito dal costo e da 53 caratteri di sale più digest. Se parte della stringa manca o è alterata, lo strumento non riesce a leggere il sale e segnala un errore.

Posso usare questo hash direttamente nella mia applicazione?

Sì. L'output è una stringa bcrypt codificata standard compatibile con le comuni librerie bcrypt, quindi puoi memorizzarla e verificarla sul tuo server. Per i sistemi reali, genera l'hash dove viene inserita la password invece di copiarlo attraverso altri strumenti.