Gerador e Verificador de Hash Bcrypt

O que é Gerador e Verificador de Hash Bcrypt?

O Gerador e Verificador de Hash Bcrypt é uma ferramenta gratuita no navegador para a função de hash de senhas bcrypt, o mesmo algoritmo usado por inúmeros frameworks web para armazenar senhas com segurança. Desenvolvedores backend, engenheiros de segurança e quem está aprendendo sobre autenticação a usam para produzir um hash $2b$ de exemplo para popular um banco de dados, para confirmar que um hash armazenado realmente corresponde a uma senha conhecida, ou para ver como o fator de custo altera o trabalho envolvido. No modo Gerar hash, você insere uma senha e um fator de custo (4-31); um sal aleatório de 16 bytes é gerado para você e o resultado é a string bcrypt codificada padrão que carrega juntos a versão do algoritmo, o custo, o sal e o digest. No modo Verificar, você cola uma senha e um hash bcrypt existente, pressiona Verificar, e a ferramenta informa se eles correspondem. Como o bcrypt é deliberadamente lento, um fator de custo alto pode levar um momento perceptível para calcular.

Como usar Gerador e Verificador de Hash Bcrypt

1. Escolha Gerar hash para criar um novo hash, ou Verificar para checar uma senha em relação a um existente.
2. No modo Gerar hash, digite ou cole a senha em texto simples que deseja proteger.
3. Defina o fator de custo (10 é um padrão comum; quanto maior, mais lento e mais forte).
4. Pressione Gerar hash e copie a string bcrypt resultante assim que ela aparecer.
5. No modo Verificar, insira a senha e cole o hash bcrypt, depois pressione Verificar para ver Corresponde ou Não corresponde.

Exemplos

senha: correct horse battery staple, custo: 10

$2b$10$... (um hash bcrypt de 60 caracteres; o sal é aleatório, então difere a cada vez)

senha: hunter2, hash: $2b$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy

Corresponde

senha: wrongpass, hash: $2b$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy

Não corresponde

Perguntas frequentes

Minhas senhas ou hashes são enviados para algum lugar?

Não. O hash e a verificação rodam inteiramente no seu navegador usando uma compilação WebAssembly do bcrypt. Nada do que você digita é enviado ou armazenado em qualquer servidor, então a ferramenta continua funcionando offline e suas senhas nunca saem da página.

Que fator de custo devo usar?

O fator de custo define quantas rodadas o bcrypt executa; cada incremento praticamente dobra o trabalho. Um valor de 10-12 é comum para aplicações web. Valores mais altos resistem melhor à força bruta, mas levam mais tempo para calcular, então números muito altos podem travar o navegador por um instante.

Por que o hash muda toda vez para a mesma senha?

Um novo sal aleatório de 16 bytes é gerado para cada hash, e o sal fica embutido no resultado. Sais diferentes produzem hashes diferentes para a mesma senha, que é exatamente o que torna o bcrypt seguro. A verificação ainda funciona porque o sal é lido de volta a partir do hash armazenado.

Por que a verificação diz que meu hash é inválido?

A verificação espera um hash bcrypt completo na forma codificada padrão, normalmente começando com $2a$, $2b$ ou $2y$ seguido do custo e de 53 caracteres de sal mais digest. Se parte da string estiver faltando ou alterada, a ferramenta não consegue ler o sal e relata um erro.

Posso usar esse hash diretamente na minha aplicação?

Sim. A saída é uma string bcrypt codificada padrão compatível com as bibliotecas bcrypt comuns, então você pode armazená-la e verificá-la no seu servidor. Para sistemas reais, gere o hash onde a senha é inserida em vez de copiá-lo através de outras ferramentas.