bcrypt online - Hashing de contraseñas

bcrypt es una función de hashing de contraseñas diseñada por Niels Provos y David Mazières y publicada en USENIX en 1999. Se basa en el cifrado Blowfish, pero está pensada para almacenar contraseñas, no para checksums generales: cada intento de adivinar una contraseña es deliberadamente lento, usa un salt único y puede encarecerse aumentando el factor de coste.

Un hash bcrypt de contraseña es una cadena autosuficiente como $2b$12$.... Contiene la versión del algoritmo, el coste, un salt de 128 bits codificado en el Base64 propio de bcrypt y el hash final. Por eso normalmente se almacena una sola cadena bcrypt por contraseña; la biblioteca de verificación puede recuperar los parámetros desde esa cadena.

Usa esta herramienta bcrypt online cuando necesites un bcrypt hash generator para documentación, datos de prueba, comprobaciones de migración o experimentos rápidos con factores de coste. Usa el modo Verify si ya tienes un hash bcrypt y quieres comprobar si una contraseña candidata coincide.

El factor de coste de bcrypt es un exponente: cost 10 equivale aproximadamente a 2^10 unidades de trabajo interno, cost 12 a 2^12, y cada incremento de 1 duplica el trabajo para atacantes y para inicios de sesión legítimos. Una base conservadora para bcrypt es un work factor de 10 o más cuando Argon2id o scrypt no están disponibles; el valor práctico debe medirse en el servidor que procesará la autenticación real.

Esta herramienta permite valores de cost de 4 a 31, con 12 por defecto. Los valores bajos solo sirven para demostraciones y pruebas rápidas; en producción conviene elegir el coste más alto que mantenga una verificación de login aceptable bajo carga. En la práctica, busca una demora visible pero razonable, monitoriza la latencia de inicio de sesión y sube el coste con el tiempo.

El coste se almacena dentro de cada hash bcrypt, así que los hashes antiguos siguen verificándose después de cambiar la política. Un patrón común es verificar el hash antiguo durante el login, volver a hashear la misma contraseña con el nuevo coste y reemplazar el valor guardado.

En modo Generate, introduce una contraseña o frase de contraseña, elige el factor de coste y ejecuta el cálculo. El navegador crea automáticamente un salt aleatorio y devuelve una cadena bcrypt que empieza por $2b$. La misma contraseña debería producir hashes distintos en ejecuciones repetidas porque el salt cambia cada vez.

En modo Verify, pega la contraseña candidata como entrada y el hash bcrypt guardado en el campo de verificación. La herramienta lee el coste y el salt del hash guardado, ejecuta bcrypt con los mismos parámetros y devuelve si la contraseña coincide. Reconoce cadenas bcrypt modernas que empiezan por $2a$, $2b$ o $2y$.

Todo se ejecuta en el cliente con la implementación JavaScript de bcrypt usada por la página. La contraseña y el hash no se envían al servidor, lo que resulta cómodo para ejemplos y depuración. Para cuentas reales, hashea y verifica siempre en el backend con una biblioteca mantenida, rate limiting, registros de auditoría y prácticas seguras de despliegue.

Los desarrolladores suelen necesitar bcrypt para tareas prácticas: crear un hash de contraseña para un usuario de prueba, verificar si una contraseña coincide con un hash guardado, comparar factores de coste, entender una cadena $2b$ o planear una migración desde almacenamiento heredado.

Esta página cubre preguntas habituales sobre bcrypt generator y verifier: cómo generar un hash bcrypt online, cómo verificar un hash bcrypt, qué es un salt bcrypt, cómo funciona el factor de coste, cómo se compara bcrypt con Argon2 y por qué importa el límite de 72 bytes. El patrón de producción es sencillo: genera un hash con salt único, almacena la cadena bcrypt completa, verifica con una biblioteca mantenida y rehashea cuando el coste guardado quede por debajo de tu política actual.