Generador y Validador Bcrypt
Genera hashes Bcrypt y verifica contraseñas directamente en tu navegador.
Tus contraseñas nunca se envían a ningún servidor.
🔒 Generar Hash Bcrypt
✅ Validar Bcrypt (Comparar)
Acerca de
Una herramienta gratuita para desarrolladores y administradores de sistemas que necesitan generar hashes Bcrypt o verificar contraseñas al instante, sin instalar nada.
Todo el procesamiento se realiza 100% en tu navegador. Tus contraseñas nunca salen de tu dispositivo ni se envían a ningún servidor externo.
Cómo usar
Hashear una contraseña
Escribe tu contraseña en el panel izquierdo, ajusta las Rondas (10 es lo recomendado) y pulsa "Generar Hash". Copia el resultado para usarlo en tu aplicación.
Comparar con un hash existente
Pega el hash Bcrypt ($2b$10$...) y la contraseña en texto plano en el panel derecho, luego pulsa "Comparar" para ver si coinciden.
Glosario
- bcrypt
- Algoritmo de hashing diseñado específicamente para contraseñas, pensado para ser lento y costoso computacionalmente. Genera automáticamente un salt y aplica key stretching, siendo muy resistente a ataques de fuerza bruta y tablas arcoíris.
- Hash
- Cadena de longitud fija generada a partir de una entrada mediante una función unidireccional. Es computacionalmente inviable revertir un hash al dato original, por lo que la autenticación se hace re-hasheando y comparando.
- Salt (Sal)
- Cadena aleatoria que se añade a la contraseña antes de hashearla. Al ser única cada vez, dos contraseñas idénticas producen hashes distintos, neutralizando los ataques de tablas arcoíris.
- Factor de Coste (Rondas / Work Factor)
- Parámetro que controla cuántas veces itera el algoritmo bcrypt (como potencia de 2). Cada incremento duplica el tiempo de cómputo, permitiendo adaptarse al avance del hardware.
- Ataque de Tablas Arcoíris (Rainbow Table)
- Ataque que usa tablas precalculadas de valores hash para descifrar contraseñas. El uso de salts únicos en bcrypt hace este ataque ineficaz.
- Ataque de Fuerza Bruta
- Ataque que prueba sistemáticamente todas las combinaciones posibles de contraseña. Dado que bcrypt es intencionalmente lento, reduce drásticamente la efectividad de este tipo de ataques.
- Key Stretching (Estiramiento de Clave)
- Técnica que repite el proceso de hash muchas veces para aumentar intencionalmente el tiempo de verificación. En bcrypt, el factor de coste controla el número de iteraciones realizadas.
FAQ
- Q.¿Mi contraseña se envía a vuestro servidor?
- No. Todo el hashing y la comparación bcrypt se realizan completamente en el entorno JavaScript de tu navegador. Tu contraseña y el hash nunca salen de tu dispositivo.
- Q.¿Sigue siendo seguro bcrypt hoy en día?
- Sí. Desde su publicación en 1999, bcrypt sigue siendo uno de los algoritmos de hashing de contraseñas más recomendados. Con un factor de coste adecuado, ofrece una protección sólida contra el hardware moderno.
- Q.¿Cuál es el factor de coste (rondas) recomendado?
- A partir de 2024, se recomienda generalmente un factor de coste de 12–14. El objetivo es que un solo hash tarde entre 0,25 y 1 segundo en tu servidor, siendo usable pero resistente a ataques.
- Q.¿En qué se diferencia bcrypt de SHA-256?
- SHA-256 es un hash de propósito general muy rápido, demasiado rápido para almacenar contraseñas ya que beneficia a los atacantes. bcrypt está diseñado específicamente para contraseñas: es intencionalmente lento e incluye salt automático.
- Q.¿Dónde usaría el hash generado?
- En la autenticación de aplicaciones web, guardas el hash bcrypt en la base de datos en lugar de la contraseña en texto plano. Al iniciar sesión, re-hasheas la contraseña introducida y la comparas con el hash almacenado.
- Q.¿Puedo revertir un hash bcrypt para obtener la contraseña original?
- No. bcrypt es una función unidireccional. Es computacionalmente inviable derivar la contraseña original a partir del hash — esa es la propiedad fundamental que lo hace seguro para el almacenamiento de contraseñas.
- Q.¿Puedo usarlo en un smartphone?
- Sí. Sin embargo, con un factor de coste alto, el hashing puede tardar más en dispositivos móviles debido a los procesadores más lentos en comparación con el hardware de escritorio.
Casos de uso
Pruebas de almacenamiento de contraseñas
Verifica la implementación de almacenamiento de contraseñas de tu API backend sin escribir una sola línea de código.
Depuración de inicio de sesión
Comprueba rápidamente si un hash almacenado en tu base de datos coincide realmente con la contraseña esperada para aislar bugs de autenticación.
Aprendizaje de seguridad
Experimenta con distintos factores de coste para entender cómo el work factor de bcrypt afecta al tiempo de cómputo y la fortaleza de seguridad.
Benchmarking de coste
Compara el factor de coste 10 vs 12 para medir el impacto en el rendimiento antes de actualizar tu configuración de producción.