CiphersOnline
Cifratura Online
Hashing
bcrypt

bcrypt online - Hashing password

Genera e verifica hash bcrypt di password online nel browser. Questo generatore bcrypt crea hash $2b$ con salt e cost factor configurabile, mentre il verificatore confronta una password con hash $2a$, $2b$ o $2y$ esistenti senza caricare dati.

Password
0 caratt. · 0 byte
Hash da verificare
Prova:
Risultato
✓ Elaborazione locale nel browser ✓ L’input non viene inviato al server
Esempi
Password comune
Cost factor (4–31): 12
Input password123

Una password tipica. Fai clic su Compute per generare un hash bcrypt con salt e cost factor predefinito.

Passphrase
Cost factor (4–31): 12
Input cavallo corretto batteria graffetta

Esempio di passphrase più lunga. bcrypt usa solo i primi 72 byte, quindi le password Unicode molto lunghe richiedono attenzione.

Cost rapido compatibile
Cost factor (4–31): 10
Input demo-login-legacy

Genera un hash bcrypt con cost 10, utile per confrontare un work factor compatibile più basso con il valore predefinito.

Password admin con cost alto
Cost factor (4–31): 14
Input passphrase-cassaforte-admin-2026

Usa un cost bcrypt più alto per mostrare il compromesso sicurezza/prestazioni. Generazione e verifica saranno sensibilmente più lente.

Che cos'è bcrypt?

bcrypt è una funzione di hashing per password progettata da Niels Provos e David Mazières e pubblicata a USENIX nel 1999. Si basa sul cifrario Blowfish, ma nasce per conservare password, non per checksum generici: ogni tentativo di indovinare una password è volutamente lento, usa un salt univoco e può diventare più costoso aumentando il cost factor.

Un hash bcrypt di una password è una stringa autosufficiente come $2b$12$.... Contiene versione dell'algoritmo, costo, salt a 128 bit codificato nel Base64 personalizzato di bcrypt e hash finale. Per questo un database di solito salva una sola stringa bcrypt per password; la libreria di verifica può leggerne i parametri in seguito.

Usa questo strumento bcrypt online quando ti serve un bcrypt hash generator per documentazione, dati di test, controlli di migrazione o prove rapide con diversi cost factor. Usa la modalità Verify se hai già un hash bcrypt e vuoi controllare se una password candidata corrisponde.

Cost factor spiegato

Il cost factor di bcrypt è un esponente: cost 10 significa circa 2^10 unità di lavoro interno, cost 12 circa 2^12, e ogni aumento di 1 raddoppia il lavoro sia per gli attaccanti sia per i login legittimi. Una base prudente per bcrypt è un work factor di 10 o superiore quando Argon2id o scrypt non sono disponibili; il valore pratico va misurato sul server che gestirà l'autenticazione reale.

Questo strumento espone valori di cost da 4 a 31, con 12 come predefinito. I valori bassi servono solo per demo e test rapidi; in produzione conviene scegliere il costo più alto che mantenga la verifica del login accettabile sotto carico. In pratica, punta a un ritardo percepibile ma ragionevole, monitora la latenza del login e aumenta il cost con il miglioramento dell'hardware.

Il costo è memorizzato dentro ogni hash bcrypt, quindi i vecchi hash restano verificabili dopo un cambio di policy. Uno schema comune è verificare il vecchio hash durante il login, poi ricalcolare la stessa password con il nuovo cost e sostituire il valore salvato.

Come funzionano generatore e verifica

In modalità Generate, inserisci una password o passphrase, scegli il cost factor e avvia il calcolo. Il browser crea automaticamente un salt casuale e restituisce una stringa bcrypt che inizia con $2b$. La stessa password dovrebbe produrre hash diversi a ogni esecuzione perché il salt cambia ogni volta.

In modalità Verify, incolla la password candidata come input e l'hash bcrypt memorizzato nel campo di verifica. Lo strumento legge cost e salt dall'hash salvato, esegue bcrypt con gli stessi parametri e indica se la password corrisponde. Riconosce stringhe bcrypt moderne che iniziano con $2a$, $2b$ o $2y$.

Tutto viene eseguito lato client con l'implementazione JavaScript bcrypt usata dalla pagina. Password e hash non vengono inviati al server, quindi lo strumento è comodo per esempi e debug. Per account reali, esegui comunque hashing e verifica nel backend con una libreria server mantenuta, rate limiting, audit logging e pratiche di deploy sicure.

Casi d'uso comuni di bcrypt

Gli sviluppatori usano bcrypt soprattutto per attività pratiche: creare un hash password per un utente di test, verificare se una password corrisponde a un hash salvato, confrontare cost factor, capire una stringa $2b$ o pianificare una migrazione da vecchi sistemi di archiviazione password.

Questa pagina copre domande frequenti su bcrypt generator e verifier: come generare un hash bcrypt online, come verificare un hash bcrypt, cos'è un salt bcrypt, come funziona il cost factor, come bcrypt si confronta con Argon2 e perché conta il limite di 72 byte. Il pattern di produzione è semplice: genera un hash con salt univoco, salva l'intera stringa bcrypt, verifica con una libreria mantenuta e ricalcola l'hash quando il cost salvato diventa più debole della policy corrente.

FAQ

bcrypt tronca internamente le password di input a 72 byte. Tutto ciò che supera il byte 72 viene ignorato silenziosamente e non aggiunge sicurezza. Una soluzione comune è prima calcolare SHA-256 della password ottenendo 32 byte e poi passarli a bcrypt; in alternativa si può usare Argon2id, che non ha questo limite.

Per nuovi sistemi Argon2id è spesso preferibile perché è memory-hard e rende gli attacchi GPU più costosi rispetto a bcrypt. Scegli bcrypt quando servono ampio supporto delle librerie, comportamento molto stabile o compatibilità con piattaforme che già memorizzano hash bcrypt. bcrypt resta accettabile con un cost factor forte.

Sono versioni del formato codificato bcrypt. $2a$ è l'originale; $2y$ fu introdotto in PHP per indicare implementazioni corrette dopo un bug di sign-extension del 2011; $2b$ è il formato standard moderno usato dalle librerie compatibili OpenBSD. I nuovi hash qui usano $2b$, mentre la verifica di vecchi hash $2a$ e $2y$ funziona nelle librerie moderne.

No. bcrypt viene eseguito interamente nel browser con la libreria bcryptjs: la password non lascia il tuo dispositivo. Non ci sono richieste di rete, log o elaborazione server. Per account reali in produzione usa comunque una libreria server con casualità sicura, rate limiting e monitoraggio.

No. bcrypt è una funzione unidirezionale di hashing password, non cifratura. Non puoi recuperare la password originale dall'hash. La verifica funziona calcolando l'hash di una password candidata con cost e salt incorporati nella stringa bcrypt salvata, poi confrontando il risultato.

bcrypt usa un salt casuale univoco per ogni hash generato. Il salt è salvato nella stringa di output, quindi la verifica funziona comunque, ma due utenti con la stessa password non dovrebbero avere hash salvati identici. Questo impedisce semplici lookup table e rende più costoso il cracking massivo.

Usa almeno 10 per bcrypt e misura le prestazioni sul vero server di autenticazione. Cost 12 è un punto di partenza comune per applicazioni moderne, ma il valore corretto è il costo più alto che login flow, job in background e controlli anti-abuso possono sostenere senza ritardi inaccettabili.

Di solito no. Una stringa bcrypt standard contiene già versione, cost, salt e hash. Salva il valore completo esattamente come generato, per esempio una stringa che inizia con $2b$12$..., e lascia che la libreria bcrypt lo analizzi durante la verifica.

Sì. Il verificatore accetta i prefissi bcrypt comuni $2a$, $2b$ e $2y$. I nuovi hash generati da questo strumento usano il formato moderno $2b$.

bcrypt è ancora accettabile se configurato con un cost factor forte, ma Argon2id è preferibile per nuova archiviazione password quando disponibile perché è memory-hard. Scegli bcrypt se servono compatibilità ampia, supporto della piattaforma o coerenza nella migrazione di un database esistente di hash bcrypt.
Strumenti correlati

Generatore HMAC

Genera un HMAC da testo e chiave segreta direttamente nel browser.

Tutti gli strumenti Hashing e sicurezza delle password →