Generator i weryfikator hashy Bcrypt

Czym jest Generator i weryfikator hashy Bcrypt?

Generator i weryfikator hashy Bcrypt to darmowe narzędzie działające w przeglądarce dla funkcji hashującej hasła bcrypt — tego samego algorytmu, którego niezliczone frameworki webowe używają do bezpiecznego przechowywania haseł. Programiści backendu, inżynierowie bezpieczeństwa oraz osoby uczące się uwierzytelniania używają go do tworzenia przykładowego hasha $2b$ do zasilenia bazy danych, do potwierdzenia, że zapisany hash naprawdę pasuje do znanego hasła, lub aby zobaczyć, jak współczynnik kosztu zmienia wymagany nakład pracy. W trybie Hashuj wpisujesz hasło i współczynnik kosztu (4-31); generowana jest dla Ciebie losowa 16-bajtowa sól, a wynikiem jest standardowy zakodowany ciąg bcrypt zawierający razem wersję algorytmu, koszt, sól i skrót. W trybie Weryfikuj wklejasz hasło i istniejący hash bcrypt, naciskasz Weryfikuj, a narzędzie informuje, czy pasują do siebie. Ponieważ bcrypt jest celowo wolny, wysoki współczynnik kosztu może zająć zauważalną chwilę na obliczenie.

Jak używać Generator i weryfikator hashy Bcrypt

1. Wybierz Hashuj, aby utworzyć nowy hash, lub Weryfikuj, aby sprawdzić hasło względem istniejącego.
2. W trybie Hashuj wpisz lub wklej hasło w tekście jawnym, które chcesz chronić.
3. Ustaw współczynnik kosztu (10 to powszechna wartość domyślna; wyższy jest wolniejszy i silniejszy).
4. Naciśnij Wygeneruj hash i skopiuj powstały ciąg bcrypt, gdy tylko się pojawi.
5. W trybie Weryfikuj wprowadź hasło i wklej hash bcrypt, a następnie naciśnij Weryfikuj, aby zobaczyć Pasuje lub Nie pasuje.

Przykłady

hasło: correct horse battery staple, koszt: 10

$2b$10$... (60-znakowy hash bcrypt; sól jest losowa, więc za każdym razem się różni)

hasło: hunter2, hash: $2b$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy

Pasuje

hasło: wrongpass, hash: $2b$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy

Nie pasuje

Najczęściej zadawane pytania

Czy moje hasła lub hashe są gdziekolwiek wysyłane?

Nie. Hashowanie i weryfikacja działają w całości w Twojej przeglądarce przy użyciu kompilacji WebAssembly bcrypt. Nic z tego, co wpisujesz, nie jest przesyłane ani przechowywane na żadnym serwerze, więc narzędzie działa też offline, a Twoje hasła nigdy nie opuszczają strony.

Jakiego współczynnika kosztu powinienem użyć?

Współczynnik kosztu określa, ile rund wykonuje bcrypt; każdy wzrost o jeden mniej więcej podwaja nakład pracy. Wartość 10-12 jest powszechna w aplikacjach webowych. Wyższe wartości lepiej opierają się atakowi siłowemu, ale dłużej się liczą, więc bardzo wysokie liczby mogą na chwilę zawiesić przeglądarkę.

Dlaczego hash zmienia się za każdym razem dla tego samego hasła?

Dla każdego hasha generowana jest świeża losowa 16-bajtowa sól, a sól jest osadzona w wyniku. Różne sole dają różne hashe dla tego samego hasła, i to właśnie czyni bcrypt bezpiecznym. Weryfikacja i tak się udaje, ponieważ sól jest odczytywana z powrotem z zapisanego hasha.

Dlaczego weryfikacja mówi, że mój hash jest nieprawidłowy?

Weryfikacja oczekuje kompletnego hasha bcrypt w standardowej zakodowanej postaci, zwykle zaczynającej się od $2a$, $2b$ lub $2y$, po czym następuje koszt oraz 53 znaki soli wraz ze skrótem. Jeśli część ciągu jest brakująca lub zmieniona, narzędzie nie może odczytać soli i zgłasza błąd.

Czy mogę użyć tego hasha bezpośrednio w mojej aplikacji?

Tak. Wynikiem jest standardowy zakodowany ciąg bcrypt zgodny z popularnymi bibliotekami bcrypt, więc możesz go przechowywać i weryfikować względem niego na swoim serwerze. W rzeczywistych systemach generuj hash tam, gdzie wprowadzane jest hasło, zamiast kopiować go przez inne narzędzia.