Bcrypt Hash Generator & Prüfer
Hashen und verifizieren Sie Passwörter mit Bcrypt — vollständig in Ihrem Browser.
Ihre Passwörter werden niemals an einen Server gesendet.
🔒 Bcrypt Hash generieren
✅ Bcrypt-Übereinstimmung prüfen
Über
Ein kostenloses Tool für Backend-Entwickler und Sicherheitsingenieure, um Bcrypt-Passwort-Hashes sofort zu generieren und zu überprüfen — alles, ohne den Browser zu verlassen.
Dieses Tool läuft zu 100% lokal. Ihre Passwörter werden vollständig im Browser über einen Web Worker verarbeitet und niemals an einen Server gesendet.
Bedienungsanleitung
Ein Passwort hashen
Geben Sie im linken Bereich ein Klartextpasswort ein, legen Sie die Kostenfaktor-Runden fest (10 wird empfohlen) und klicken Sie auf "Hash generieren". Kopieren Sie das Ergebnis, um es in Ihrer App zu verwenden.
Gegen einen vorhandenen Hash prüfen
Fügen Sie einen vorhandenen Bcrypt-Hash ($2b$10$...) und das Klartextpasswort in das rechte Feld ein und klicken Sie auf "Vergleichen", um zu sehen, ob sie übereinstimmen.
Glossar
- bcrypt
- Ein Passwort-Hashing-Algorithmus, der so konzipiert ist, dass er langsam und rechenintensiv ist. Er generiert automatisch einen Salt und wendet Key Stretching an, was ihn sehr widerstandsfähig gegen Rainbow-Table- und Brute-Force-Angriffe macht.
- Hash
- Eine Zeichenfolge mit fester Länge, die aus einer Eingabe durch eine Einwegfunktion erzeugt wird. Es ist rechnerisch unmöglich, einen Hash auf die ursprüngliche Eingabe zurückzuführen, daher erfolgt die Authentifizierung durch erneutes Hashen und Vergleichen.
- Salt (Salz)
- Eine zufällige Zeichenfolge, die vor dem Hashing an ein Passwort angehängt wird. Da jeder Salt eindeutig ist, erzeugen zwei identische Passwörter unterschiedliche Hashes, was Rainbow-Table-Angriffe wirkungslos macht.
- Kostenfaktor (Arbeitsfaktor / Runden)
- Ein Parameter, der steuert, wie oft der Bcrypt-Algorithmus iteriert (als Zweierpotenz). Jedes Inkrement verdoppelt die Berechnungszeit, sodass Sie mit zukünftigen Hardwareverbesserungen Schritt halten können.
- Rainbow-Table-Angriff
- Ein Angriff, der eine vorberechnete Tabelle von Hash-Werten verwendet, um Passwörter zu knacken. Die Verwendung eindeutiger Salts in Bcrypt macht diesen Angriff ineffektiv.
- Brute-Force-Angriff
- Ein Angriff, der systematisch jeden möglichen Passwortkandidaten ausprobiert. Da Bcrypt absichtlich langsam zu berechnen ist, reduziert es die Praktikabilität von Brute-Force-Versuchen drastisch.
- Key Stretching (Schlüsselstreckung)
- Eine Technik, die die Hash-Berechnung viele Male ausführt, um absichtlich die Zeit pro Verifizierung zu erhöhen. Bei Bcrypt steuert der Kostenfaktor, wie viele Iterationen ausgeführt werden.
FAQ
- F.Wird mein Passwort an Ihren Server gesendet?
- Nein. Alle Bcrypt-Hashing- und Vergleichsvorgänge werden vollständig in der JavaScript-Umgebung Ihres Browsers ausgeführt. Ihre Passwörter und Hashes verlassen niemals Ihr Gerät.
- F.Gilt Bcrypt noch als sicher?
- Ja. Seit seiner Veröffentlichung im Jahr 1999 bleibt Bcrypt einer der am häufigsten empfohlenen Passwort-Hashing-Algorithmen. Mit einem angemessenen Kostenfaktor bietet es starken Schutz gegen moderne Hardware-Angriffe.
- F.Was ist der empfohlene Kostenfaktor (Rounds)?
- Ab 2024 wird im Allgemeinen ein Kostenfaktor von 12–14 empfohlen. Streben Sie einen Wert an, bei dem ein einzelner Hash auf Ihrem Server etwa 0,25–1 Sekunde dauert, damit er nutzbar bleibt und gleichzeitig gegen Angriffe geschützt ist.
- F.Was ist der Unterschied zwischen Bcrypt und SHA-256?
- SHA-256 ist ein schneller Universal-Hash — zu schnell für die Passwortspeicherung, was Angreifern einen Vorteil verschafft. Bcrypt wurde speziell für Passwörter entwickelt: Es ist absichtlich langsam und enthält einen automatischen Salt.
- F.Wo würde ich den generierten Hash verwenden?
- Bei der Authentifizierung von Webanwendungen speichern Sie den Bcrypt-Hash anstelle des Klartext-Passworts in Ihrer Datenbank. Bei der Anmeldung hashen Sie das eingegebene Passwort erneut und vergleichen es mit dem gespeicherten Hash.
- F.Kann ich einen Bcrypt-Hash umkehren, um das ursprüngliche Passwort zu erhalten?
- Nein. Bcrypt ist eine Einwegfunktion. Es ist rechnerisch unmöglich, das ursprüngliche Passwort aus dem Hash abzuleiten — das ist die grundlegende Eigenschaft, die es für die Passwortspeicherung sicher macht.
- F.Kann ich dies auf einem Smartphone verwenden?
- Ja. Bei einem hoch eingestellten Kostenfaktor kann das Hashing auf mobilen Geräten jedoch aufgrund langsamerer Prozessoren im Vergleich zu Desktop-Hardware merklich länger dauern.
Anwendungsfälle
Passwortspeichertests
Überprüfen Sie die Implementierung der Passwortspeicherung Ihrer Backend-API, ohne eine einzige Codezeile zu schreiben.
Login-Fehlersuche
Überprüfen Sie schnell, ob ein in Ihrer Datenbank gespeicherter Hash tatsächlich mit dem erwarteten Klartextpasswort übereinstimmt, um Authentifizierungsfehler zu isolieren.
Sicherheit lernen
Experimentieren Sie mit verschiedenen Kostenfaktoren, um zu verstehen, wie sich der Arbeitsfaktor von Bcrypt auf die Berechnungszeit und die Sicherheitsstärke auswirkt.
Kosten-Benchmarking
Vergleichen Sie den Kostenfaktor 10 mit 12, um die Auswirkungen auf die Leistung zu messen, bevor Sie Ihre Produktionskonfiguration aktualisieren.