Генератор і перевірник bcrypt-хешів

Що таке Генератор і перевірник bcrypt-хешів?

Генератор і перевірник bcrypt-хешів — це безкоштовний браузерний інструмент для функції хешування паролів bcrypt, того самого алгоритму, який використовують незліченні вебфреймворки для безпечного зберігання паролів. Backend-розробники, інженери з безпеки та ті, хто вивчає автентифікацію, застосовують його, щоб отримати зразковий хеш $2b$ для наповнення бази даних, підтвердити, що збережений хеш справді відповідає відомому паролю, або побачити, як фактор вартості змінює обсяг роботи. У режимі «Хеш» ви вводите пароль і фактор вартості (4-31); для вас генерується випадкова 16-байтова сіль, а результатом стає стандартний закодований bcrypt-рядок, який разом містить версію алгоритму, вартість, сіль і дайджест. У режимі «Перевірка» ви вставляєте пароль і наявний bcrypt-хеш, натискаєте «Перевірити», і інструмент повідомляє, чи вони збігаються. Оскільки bcrypt навмисно повільний, за високого фактора вартості обчислення може зайняти помітний час.

Як користуватися Генератор і перевірник bcrypt-хешів

1. Оберіть «Хеш», щоб створити новий хеш, або «Перевірка», щоб звірити пароль із наявним.
2. У режимі «Хеш» введіть або вставте пароль у відкритому тексті, який хочете захистити.
3. Задайте фактор вартості (10 — поширене значення за замовчуванням; вище — повільніше й надійніше).
4. Натисніть «Створити хеш» і скопіюйте отриманий bcrypt-рядок, щойно він зʼявиться.
5. У режимі «Перевірка» введіть пароль і вставте bcrypt-хеш, потім натисніть «Перевірити», щоб побачити «Збігається» або «Не збігається».

Приклади

пароль: correct horse battery staple, вартість: 10

$2b$10$... (60-символьний bcrypt-хеш; сіль випадкова, тож він щоразу різний)

пароль: hunter2, хеш: $2b$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy

Збігається

пароль: wrongpass, хеш: $2b$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy

Не збігається

Поширені запитання

Чи надсилаються мої паролі або хеші кудись?

Ні. Хешування та перевірка виконуються повністю у вашому браузері за допомогою WebAssembly-збірки bcrypt. Нічого з уведеного вами не завантажується та не зберігається на жодному сервері, тож інструмент працює офлайн, а ваші паролі ніколи не залишають сторінку.

Який фактор вартості використовувати?

Фактор вартості задає, скільки раундів виконує bcrypt; кожне збільшення приблизно подвоює обсяг роботи. Значення 10-12 поширене для вебзастосунків. Вищі значення краще протистоять перебору, але довше обчислюються, тож дуже великі числа можуть на мить підвісити браузер.

Чому хеш щоразу змінюється для того самого пароля?

Для кожного хешу генерується нова випадкова 16-байтова сіль, і вона вбудовується в результат. Різні солі дають різні хеші для того самого пароля — саме це й робить bcrypt безпечним. Перевірка все одно проходить, бо сіль зчитується назад зі збереженого хешу.

Чому перевірка повідомляє, що мій хеш недійсний?

Перевірка очікує повний bcrypt-хеш у стандартній закодованій формі, що зазвичай починається з $2a$, $2b$ або $2y$, за якими йдуть вартість і 53 символи солі з дайджестом. Якщо частина рядка відсутня або змінена, інструмент не може прочитати сіль і повідомляє про помилку.

Чи можу я використати цей хеш прямо у своєму застосунку?

Так. Вивід — це стандартний закодований bcrypt-рядок, сумісний із поширеними bcrypt-бібліотеками, тож ви можете зберігати його та звіряти з ним на своєму сервері. Для реальних систем створюйте хеш там, де вводиться пароль, а не копіюйте його через інші інструменти.