bcrypt online - хеширование паролей

bcrypt — функция хеширования паролей, разработанная Нильсом Провосом и Давидом Мазьером и опубликованная на USENIX в 1999 году. Она основана на шифре Blowfish, но используется не для обычных контрольных сумм файлов, а именно для хранения паролей: каждая попытка подбора намеренно замедляется, применяется уникальная соль, а стоимость вычисления можно повышать через cost factor.

bcrypt-хеш пароля хранится как самодостаточная строка, например $2b$12$.... В ней записаны версия алгоритма, cost factor, 128-битная соль в собственной Base64-кодировке bcrypt и итоговый хеш. Поэтому в базе данных обычно достаточно хранить одну строку bcrypt для каждого пароля: библиотека проверки сама прочитает из неё нужные параметры.

Используйте этот bcrypt online инструмент, когда нужен bcrypt hash generator для документации, тестовых пользователей, миграций или быстрой проверки настроек cost factor. Режим Verify пригодится, если у вас уже есть bcrypt-хеш и нужно проверить, совпадает ли с ним введённый пароль.

Cost factor в bcrypt — это показатель степени: cost 10 означает примерно 2^10 единиц внутренней работы, cost 12 — примерно 2^12, а каждое увеличение на 1 удваивает нагрузку и для атакующего, и для легитимной проверки входа. Консервативный минимум для bcrypt — work factor 10 или выше, если Argon2id или scrypt недоступны; точное значение нужно подбирать по замерам на сервере, который реально обрабатывает авторизацию.

В этом сервисе доступны значения cost от 4 до 31, по умолчанию используется 12. Низкие значения подходят только для демонстраций и быстрых тестов; в production стоит выбирать максимальную стоимость, при которой логин остаётся приемлемо быстрым под нагрузкой. Практичный подход — добиться заметной, но допустимой задержки, отслеживать latency входа и повышать cost по мере роста производительности оборудования.

Cost хранится внутри каждого bcrypt-хеша, поэтому старые значения не ломаются после изменения политики. Частый сценарий обновления: при успешном входе проверить старый хеш, затем пересчитать пароль с новым cost и заменить сохранённую строку.

В режиме Generate введите пароль или парольную фразу, выберите cost factor и запустите вычисление. Браузер автоматически создаёт случайную соль и возвращает строку bcrypt, начинающуюся с $2b$. Один и тот же пароль при повторном запуске должен давать разные хеши, потому что каждый раз используется новая соль.

В режиме Verify вставьте проверяемый пароль в основное поле, а сохранённый bcrypt-хеш — в поле проверки. Инструмент читает cost и соль из сохранённой строки, запускает bcrypt с теми же параметрами и показывает, совпал ли пароль. Поддерживаются современные строки bcrypt с префиксами $2a$, $2b$ и $2y$.

Вычисления выполняются на стороне клиента с помощью JavaScript-реализации bcrypt, используемой страницей. Пароль и хеш не отправляются на сервер, поэтому инструмент удобен для примеров и отладки. Для реальных аккаунтов всё равно хешируйте и проверяйте пароли в backend-приложении через поддерживаемую серверную библиотеку, rate limiting, журналирование и безопасную инфраструктуру.

Разработчикам bcrypt чаще всего нужен для практических задач: создать bcrypt-хеш для тестового пользователя, проверить пароль по сохранённому хешу, сравнить разные cost factor, понять формат строки $2b$ или подготовить миграцию со старой схемы хранения паролей.

Эта страница закрывает частые вопросы про bcrypt generator и verifier: как сгенерировать bcrypt-хеш онлайн, как проверить bcrypt-хеш, что такое соль bcrypt, как работает cost factor, чем bcrypt отличается от Argon2 и почему важен лимит в 72 байта. Важно помнить: bcrypt нельзя расшифровать как шифр. Надёжный production-паттерн другой — создать уникальный солёный хеш, сохранить полную строку bcrypt, проверять пароль через поддерживаемую библиотеку и пересчитывать хеш, когда старый cost становится слабее текущей политики.