เครื่องมือสร้าง & ตรวจสอบแฮช Bcrypt
สร้างและตรวจสอบแฮชรหัสผ่านด้วย Bcrypt — ผ่านเบราว์เซอร์ของคุณโดยสมบูรณ์
รหัสผ่านของคุณจะไม่ถูกส่งไปยังเซิร์ฟเวอร์ใด ๆ
🔒 สร้างแฮช Bcrypt
✅ ตรวจสอบความตรงกันของ Bcrypt
เกี่ยวกับ
เครื่องมือฟรีสำหรับนักพัฒนาแบ็กเอนด์และวิศวกรความปลอดภัยเพื่อสร้างแฮชรหัสผ่าน Bcrypt และตรวจสอบทันที — ทั้งหมดนี้ทำได้โดยไม่ต้องออกจากเบราว์เซอร์
เครื่องมือนี้ทำงานบนเครื่องของคุณทั้งหมด (100% local) รหัสผ่านของคุณถูกประมวลผลภายในเบราว์เซอร์ผ่าน Web Worker และไม่เคยถูกส่งไปยังเซิร์ฟเวอร์ใด ๆ
วิธีใช้งาน
แฮชรหัสผ่าน
ป้อนรหัสผ่านข้อความธรรมดาในแผงด้านซ้าย ตั้งค่าจำนวนรอบ/ต้นทุน (แนะนำคือ 10) และคลิก "สร้างแฮช" คัดลอกผลลัพธ์เพื่อนำไปใช้ในแอปของคุณ
ตรวจสอบกับแฮชที่มีอยู่
วางแฮช Bcrypt ที่มีอยู่ ($2b$10$...) และรหัสผ่านข้อความธรรมดาในแผงด้านขวา จากนั้นคลิก "เปรียบเทียบ" เพื่อดูว่าตรงกันหรือไม่
คำศัพท์
- bcrypt
- อัลกอริทึมแฮชรหัสผ่านที่ออกแบบมาให้ทำงานช้าและใช้ทรัพยากรการคำนวณสูง มันจะสร้างสตริงสุ่ม (salt) อัตโนมัติและใช้เทคนิคการยืดคีย์ (key stretching) ทำให้มีความต้านทานสูงต่อการโจมตีแบบ rainbow table และ brute-force
- Hash (แฮช)
- สตริงที่มีความยาวคงที่ซึ่งสร้างขึ้นจากอินพุตโดยฟังก์ชันทางเดียว การย้อนกลับแฮชให้เป็นอินพุตดั้งเดิมเป็นสิ่งที่เป็นไปไม่ได้ในทางคำนวณ ดังนั้นการตรวจสอบสิทธิ์จึงทำโดยการแฮชซ้ำแล้วเปรียบเทียบ
- Salt
- สตริงแบบสุ่มที่เพิ่มเข้าไปในรหัสผ่านก่อนทำการแฮช เนื่องจาก "salt" แต่ละอันมีค่าไม่ซ้ำกัน รหัสผ่านที่เหมือนกันสองรหัสจะสร้างแฮชที่ต่างกันสองแบบ ทำให้การโจมตีด้วย rainbow table ไร้ผล
- Cost Factor (ปัจจัยต้นทุน / Rounds / จำนวนรอบ)
- พารามิเตอร์ที่ควบคุมจำนวนรอบที่อัลกอริทึม bcrypt ทำซ้ำ (ในรูปยกกำลัง 2) การเพิ่มค่าแต่ละครั้งจะทำให้เวลาในการคำนวณเพิ่มขึ้นเป็นสองเท่า ทำให้คุณสามารถก้าวทันการพัฒนาฮาร์ดแวร์ในอนาคตได้
- การโจมตีด้วยตารางสีรุ้ง (Rainbow Table Attack)
- การโจมตีที่ใช้ตารางค่าแฮชที่คำนวณไว้ล่วงหน้าเพื่อถอดรหัสรหัสผ่าน การใช้ salt ที่ไม่ซ้ำกันใน bcrypt ทำให้การโจมตีนี้ไร้ผล
- การโจมตีแบบสุ่มรหัสผ่าน (Brute-Force Attack)
- การโจมตีที่ทดสอบรหัสผ่านทุกรูปแบบที่เป็นไปได้อย่างเป็นระบบ เนื่องจาก bcrypt ถูกออกแบบมาให้คำนวณช้า จึงลดความเป็นไปได้ในการโจมตีแบบ brute-force ได้อย่างมาก
- Key Stretching (การยืดคีย์)
- เทคนิคการเรียกใช้การคำนวณฟังก์ชันแฮชหลาย ๆ ครั้งโดยมีจุดประสงค์เพื่อเพิ่มเวลาในการตรวจสอบแต่ละครั้ง ใน bcrypt ปัจจัยต้นทุนจะควบคุมจำนวนรอบที่ดำเนินการ
คำถามที่พบบ่อย
- Q.รหัสผ่านของฉันจะถูกส่งไปยังเซิร์ฟเวอร์ของคุณหรือไม่?
- ไม่ การแฮชและเปรียบเทียบ bcrypt ทั้งหมดจะดำเนินการในสภาพแวดล้อม JavaScript บนเบราว์เซอร์ของคุณโดยสมบูรณ์ รหัสผ่านและแฮชของคุณจะไม่ออกจากอุปกรณ์ของคุณเลย
- Q.Bcrypt ยังถือว่าปลอดภัยอยู่หรือไม่?
- ใช่ นับตั้งแต่เผยแพร่ในปี 1999 bcrypt ยังคงเป็นหนึ่งในอัลกอริทึมการแฮชรหัสผ่านที่ได้รับการแนะนำอย่างกว้างขวางที่สุด ด้วยปัจจัยต้นทุน (cost factor) ที่เหมาะสม มันให้การปกป้องที่แข็งแกร่งต่อการโจมตีด้วยฮาร์ดแวร์สมัยใหม่
- Q.ปัจจัยต้นทุน (รอบ - rounds) ที่แนะนำคือเท่าใด?
- ในปี 2024 โดยทั่วไปแนะนำให้ใช้ปัจจัยต้นทุนที่ 12–14 โดยตั้งเป้าหมายที่ค่าที่ทำให้การแฮชใช้เวลาประมาณ 0.25–1 วินาทีบนเซิร์ฟเวอร์ของคุณ เพื่อให้ยังคงใช้งานได้จริงในขณะที่สามารถต้านทานการโจมตีได้
- Q.ความแตกต่างระหว่าง bcrypt และ SHA-256 คืออะไร?
- SHA-256 เป็นอัลกอริทึมการแฮชอเนกประสงค์ที่เร็วมาก — เร็วเกินไปสำหรับการจัดเก็บรหัสผ่าน ซึ่งทำให้ผู้โจมตีได้เปรียบ ส่วน Bcrypt ถูกออกแบบมาเพื่อรหัสผ่านโดยเฉพาะ: มันจงใจทำงานช้าและรวมสตริงแบบสุ่ม (salt) โดยอัตโนมัติ
- Q.ฉันจะใช้แฮชที่สร้างขึ้นที่ไหน?
- ในการตรวจสอบสิทธิ์ของแอปพลิเคชันเว็บ คุณจะเก็บแฮช bcrypt ไว้ในฐานข้อมูลแทนรหัสผ่านที่เป็นข้อความธรรมดา เมื่อเข้าสู่ระบบ คุณจะแฮชรหัสผ่านที่ป้อนเข้ามาอีกครั้งแล้วเปรียบเทียบกับแฮชที่จัดเก็บไว้
- Q.ฉันสามารถย้อนกลับแฮช bcrypt เพื่อรับรหัสผ่านดั้งเดิมได้หรือไม่?
- ไม่ Bcrypt เป็นฟังก์ชันทางเดียว การหารหัสผ่านดั้งเดิมจากแฮชเป็นสิ่งที่เป็นไปไม่ได้ในทางคำนวณ — นั่นคือคุณสมบัติพื้นฐานที่ทำให้ปลอดภัยสำหรับการจัดเก็บรหัสผ่าน
- Q.ฉันสามารถใช้เครื่องมือนี้บนสมาร์ทโฟนได้หรือไม่?
- ได้ อย่างไรก็ตาม หากคุณตั้งค่าปัจจัยต้นทุน (Rounds) สูง การแฮชอาจใช้เวลานานขึ้นอย่างเห็นได้ชัดบนอุปกรณ์พกพาเนื่องจากโปรเซสเซอร์ทำงานช้ากว่าเมื่อเทียบกับฮาร์ดแวร์เดสก์ท็อป
กรณีการใช้งาน
ตรวจสอบการจัดเก็บรหัสผ่าน
ตรวจสอบการปรับใช้การจัดเก็บรหัสผ่านของ API แบ็กเอนด์ของคุณโดยไม่ต้องเขียนโค้ดแม้แต่บรรทัดเดียว
ดีบักการเข้าสู่ระบบ
ตรวจสอบอย่างรวดเร็วว่าแฮชที่เก็บในฐานข้อมูลของคุณตรงกับรหัสผ่านข้อความธรรมดาที่คาดไว้หรือไม่เพื่อแยกปัญหาการตรวจสอบสิทธิ์
เรียนรู้เกี่ยวกับความปลอดภัย
ทดลองใช้ปัจจัยต้นทุนแบบต่าง ๆ เพื่อทำความเข้าใจว่าจำนวนรอบของ bcrypt มีผลต่อเวลาในการคำนวณและความแข็งแกร่งด้านความปลอดภัยอย่างไร
ประเมินต้นทุน
เปรียบเทียบปัจจัยต้นทุนที่ 10 กับ 12 เพื่อวัดผลกระทบต่อประสิทธิภาพก่อนอัปเดตการกำหนดค่าการผลิตของคุณ
ส่งความคิดเห็น
โปรดแจ้งให้เราทราบความคิดเห็นของคุณเพื่อช่วยปรับปรุงเครื่องมือ
การส่งความคิดเห็นถูกระงับชั่วคราว
เซิร์ฟเวอร์ไม่ว่างหรือระบบป้องกันสแปมทำงานอยู่ โปรดลองอีกครั้งในภายหลัง