bcrypt online - Hachage de mots de passe

Générez et vérifiez des hash bcrypt de mots de passe en ligne dans votre navigateur. Ce générateur bcrypt crée des hash $2b$ salés avec un facteur de coût configurable, et le vérificateur compare un mot de passe à des hash $2a$, $2b$ ou $2y$ existants sans téléverser de données.

Facteur de coût (4–31)

Mot de passe

0 caract. · 0 octets

Empreinte à vérifier

Essayer :

Résultat

✓ Traitement local dans le navigateur ✓ La saisie n’est pas envoyée au serveur

Exemples

Mot de passe courant

Facteur de coût (4–31): 12

Entrée motdepasse123

Un mot de passe typique. Cliquez sur Compute pour générer un hash bcrypt salé avec le facteur de coût par défaut.

Phrase secrète

Facteur de coût (4–31): 12

Entrée cheval correct batterie agrafe

Exemple de phrase secrète plus longue. bcrypt n'utilise que les 72 premiers octets, donc les très longs mots de passe Unicode doivent être traités avec soin.

Coût compatible rapide

Facteur de coût (4–31): 10

Entrée demo-login-legacy

Génère un hash bcrypt avec cost 10, utile pour comparer un work factor compatible plus faible avec la valeur par défaut.

Mot de passe admin à coût élevé

Facteur de coût (4–31): 14

Entrée phrase-admin-coffre-2026

Utilise un coût bcrypt plus élevé pour montrer le compromis sécurité/performance. La génération et la vérification seront nettement plus lentes.

Qu'est-ce que bcrypt ?

bcrypt est une fonction de hachage de mots de passe conçue par Niels Provos et David Mazières et publiée à USENIX en 1999. Elle repose sur le chiffrement Blowfish, mais elle est destinée au stockage des mots de passe, pas aux sommes de contrôle générales : chaque tentative de deviner un mot de passe est volontairement lente, utilise un sel unique et peut devenir plus coûteuse en augmentant le facteur de coût.

Un hash bcrypt de mot de passe est une chaîne autonome comme $2b$12$.... Elle contient la version de l'algorithme, le coût, un sel de 128 bits encodé dans le Base64 propre à bcrypt, et le hash final. Une base de données stocke donc généralement une seule chaîne bcrypt par mot de passe ; la bibliothèque de vérification relit ensuite les paramètres depuis cette chaîne.

Utilisez cet outil bcrypt online lorsque vous avez besoin d'un bcrypt hash generator pour une documentation, des fixtures de test, des vérifications de migration ou des essais rapides de facteurs de coût. Utilisez le mode Verify si vous possédez déjà un hash bcrypt et voulez vérifier si un mot de passe candidat correspond.

Facteur de coût expliqué

Le facteur de coût de bcrypt est un exposant : cost 10 représente environ 2^10 unités de travail interne, cost 12 environ 2^12, et chaque augmentation de 1 double le travail pour les attaquants comme pour les connexions légitimes. Une base prudente pour bcrypt est un work factor de 10 ou plus lorsque Argon2id ou scrypt ne sont pas disponibles ; la valeur pratique doit être mesurée sur le serveur qui traitera les vraies authentifications.

Cet outil expose des valeurs de cost de 4 à 31, avec 12 par défaut. Les valeurs faibles ne servent qu'aux démonstrations et tests rapides ; en production, choisissez le coût le plus élevé qui garde la vérification de connexion acceptable sous charge. En pratique, visez une latence perceptible mais raisonnable, surveillez les connexions et augmentez le coût avec l'amélioration du matériel.

Le coût est stocké dans chaque hash bcrypt, donc les anciens hash restent vérifiables après un changement de politique. Un schéma courant consiste à vérifier l'ancien hash lors de la connexion, puis à recalculer le même mot de passe avec le nouveau coût et à remplacer la valeur stockée.

Fonctionnement du générateur et de la vérification

En mode Generate, saisissez un mot de passe ou une phrase secrète, choisissez le facteur de coût et lancez le calcul. Le navigateur crée automatiquement un sel aléatoire et renvoie une chaîne bcrypt commençant par $2b$ . Le même mot de passe devrait produire des hash différents à chaque exécution, car le sel change à chaque fois.

En mode Verify, collez le mot de passe candidat en entrée et le hash bcrypt stocké dans le champ de vérification. L'outil lit le coût et le sel depuis le hash, exécute bcrypt avec les mêmes paramètres et indique si le mot de passe correspond. Il reconnaît les chaînes bcrypt modernes commençant par $2a$ , $2b$ ou $2y$ .

Tout s'exécute côté client avec l'implémentation JavaScript bcrypt utilisée par la page. Le mot de passe et le hash ne sont pas envoyés au serveur, ce qui rend l'outil pratique pour les exemples et le débogage. Pour de vrais comptes utilisateur, hachez et vérifiez tout de même les mots de passe dans votre backend avec une bibliothèque maintenue, une limitation de débit, des journaux d'audit et des pratiques de déploiement sûres.

Cas d'usage courants de bcrypt

Les développeurs utilisent souvent bcrypt pour des tâches concrètes : créer un hash de mot de passe pour un utilisateur de test, vérifier si un mot de passe correspond à un hash stocké, comparer des facteurs de coût, comprendre une chaîne $2b$ ou préparer une migration depuis un ancien stockage de mots de passe.

Cette page couvre les questions fréquentes autour de bcrypt generator et verifier : comment générer un hash bcrypt en ligne, comment vérifier un hash bcrypt, ce qu'est un sel bcrypt, comment fonctionne le facteur de coût, comment bcrypt se compare à Argon2 et pourquoi la limite de 72 octets compte. Le modèle de production reste simple : générer un hash salé unique, stocker la chaîne bcrypt complète, vérifier avec une bibliothèque maintenue et rehacher lorsque le coût stocké devient plus faible que votre politique actuelle.

FAQ

bcrypt tronque en interne les mots de passe d'entrée à 72 octets. Tout ce qui dépasse l'octet 72 est ignoré silencieusement et n'ajoute aucune sécurité. Une solution courante consiste à hacher d'abord le mot de passe avec SHA-256 pour obtenir 32 octets, puis à fournir ce résultat à bcrypt ; une autre option consiste à passer à Argon2id, qui n'a pas cette limite.

Pour les nouveaux systèmes, Argon2id est généralement préférable car il est memory-hard et rend les attaques GPU plus coûteuses que contre bcrypt. Choisissez bcrypt si vous avez besoin d'un large support de bibliothèques, d'un comportement très stable ou d'une compatibilité avec des plateformes qui stockent déjà des hash bcrypt. bcrypt reste acceptable avec un facteur de coût fort.

Ce sont des versions du format encodé bcrypt. $2a$ est la version originale ; $2y$ a été introduit en PHP pour marquer les implémentations corrigées après un bug de sign-extension en 2011 ; $2b$ est le format standard moderne utilisé par les bibliothèques compatibles OpenBSD. Les nouveaux hash générés ici utilisent $2b$, et les anciens hash $2a$ et $2y$ se vérifient dans les bibliothèques modernes.

Non. bcrypt s'exécute entièrement dans votre navigateur avec la bibliothèque bcryptjs ; votre mot de passe ne quitte pas votre appareil. Il n'y a pas de requête réseau, pas de journalisation, pas de traitement serveur. Pour les comptes réels en production, utilisez toutefois une bibliothèque serveur avec aléa sûr, limitation de débit et surveillance.

Non. bcrypt est une fonction de hachage de mot de passe à sens unique, pas un chiffrement. Vous ne pouvez pas retrouver le mot de passe original depuis le hash. La vérification consiste à hacher un mot de passe candidat avec le coût et le sel intégrés dans la chaîne bcrypt stockée, puis à comparer le résultat.

bcrypt utilise un sel aléatoire unique pour chaque hash généré. Le sel est stocké dans la sortie, donc la vérification fonctionne toujours, mais deux utilisateurs ayant le même mot de passe ne devraient pas avoir des hash stockés identiques. Cela empêche les simples tables de recherche et rend les attaques massives plus coûteuses.

Utilisez au moins 10 pour bcrypt et mesurez sur votre vrai serveur d'authentification. Cost 12 est un point de départ courant pour les applications modernes, mais la bonne valeur est le coût le plus élevé que votre flux de connexion, vos tâches en arrière-plan et vos contrôles d'abus peuvent supporter sans délai inacceptable.

En général non. Une chaîne bcrypt standard contient déjà la version, le coût, le sel et le hash. Stockez la valeur complète exactement comme générée, par exemple une chaîne commençant par $2b$12$..., et laissez votre bibliothèque bcrypt l'analyser pendant la vérification.

Oui. Le vérificateur accepte les préfixes bcrypt courants $2a$, $2b$ et $2y$. Les nouveaux hash générés par cet outil utilisent le format moderne $2b$.

bcrypt reste acceptable avec un facteur de coût fort, mais Argon2id est préférable pour un nouveau stockage de mots de passe lorsqu'il est disponible, car il est memory-hard. Choisissez bcrypt lorsque la compatibilité, le support de plateforme ou la migration d'une base existante de hash bcrypt sont prioritaires.

Outils associés

bcrypt online - Hachage de mots de passe

Générateur de hash SHA-256

Générateur HMAC

Générateur de hash SHA-1

Générateur de hash SHA-512

Générateur de hash MD5

Générateur de hash SHA3-256

bcrypt online - Hachage de mots de passe

Que signifie la limite de 72 octets ?

Faut-il utiliser bcrypt ou Argon2id ?

Quelle différence entre $2a$, $2b$ et $2y$ ?

Cet outil envoie-t-il mon mot de passe quelque part ?

Peut-on déchiffrer un hash bcrypt ?

Pourquoi le même mot de passe produit-il un hash bcrypt différent à chaque fois ?

Quel facteur de coût choisir ?

Dois-je stocker le sel séparément ?

Puis-je vérifier ici des hash $2a$, $2b$ et $2y$ ?

bcrypt est-il sûr pour les nouvelles applications ?

Générateur de hash SHA-256

Générateur HMAC

Générateur de hash SHA-1

Générateur de hash SHA-512

Générateur de hash MD5

Générateur de hash SHA3-256