Bcrypt Hash Üretici ve Doğrulayıcı
Bcrypt algoritması ile şifrelerinizi tamamen tarayıcınızın içinde şifreleyin ve doğrulayın.
Şifreleriniz ve özel verileriniz hiçbir sunucuya iletilmez.
🔒 Bcrypt Hash Üret
✅ Bcrypt Eşleşmesini Doğrula
Hakkında
Geliştiriciler ve sistem/güvenlik mühendisleri için tarayıcı üzerinden anında bcrypt formatında şifre özeti oluşturmaya ve doğrulama yapmaya yarayan ücretsiz internet aracıdır.
Bu araç %100 yerel bilgisayarınızda (istemci) çalışır. Girdiğiniz şifreler, tarayıcınız içindeki Web Worker teknolojisi kullanılarak kendi cihazınızda işlenir ve güvenliğiniz nedeniyle hiçbir şekilde buluta, uzak bir sunucuya ya da veritabanına iletilmez.
Nasıl Kullanılır
Parolayı özetle
Sol panele düz/okunabilir bir şifre metni girin, Maliyet Çarpanı (Cost) değerini belirleyin (10 önerilir) ve ardından 'Hash Üret (Bcrypt)' düğmesine basın. Aşağıda çıkan karmaşık algoritmayı uygulama (API vb.) projenizde kullanabilirsiniz.
Bir kayıtla geçerliliği doğrula
Elinizde daha önceden üretilmiş olan bir Bcrypt özeti ($2b$10$...) varsa bunu sağ paneldeki üst alana yerleştirin; ardından tahmin ettiğiniz düz metni altındakine yazarak 'Karşılaştır' butonuna yürüyebilir, birbirlerini doğrulayıp doğrulamadıklarına bakabilirsiniz.
Sözlük
- bcrypt Algoritması
- Siber saldırılara karşı bilinçli şekilde ağır çalışması ve daha fazla güç çekmesi hedeflenerek geliştirilmiş eski bir şifre hash'leme algoritmasıdır. Rainbow tables vb. bruteforce denemelerine karşı entegre "tuz (salt)" sistemi barındırır.
- Hash (Özet)
- Mantıksal tek yönlü çalışan bir kriptografi algoritmasıyla girilen büyük boyutlu girişlerin (input), çok karmaşık sabit karakter dizgisine dönüştürülmüş halidir. Orijinale geri dönmek günümüz bilgisayarlarıyla imkansızı temsil ettiği için login güvenliğinin temelini oluşturur.
- Salt (Kriptografik Tuzlama)
- Ham şifre hash'lenmeden hemen önce şifrenin içine katılan çoklu rastgele oluşturulmuş karakter dizesidir. Bu sayede veritabanınızda aynı giren şifreye ait kayıt olsa dahi farklı üretilen hash'ler ortaya çıkar; Rainbow attacks bu yüzden verisiz kalır.
- Cost Factor (İş Yükü Çarpanı / Rounds)
- 2'nin tabanı şeklinde hesaplaşan, bcrypt algoritmasının bir döngüde ne kadar süre çalışmaya maruz bırakılacağını belirten maliyet rakamıdır. İşlem yeteneği artan her yıl, bu sayı bir miktar daha donanımlara (hızlanan saldırılara) karşı direnç kazanılması açısından artırılabilir.
- Gökkuşağı Tablosu Saldırısı (Rainbow Table)
- Tüm olası şifre alternatiflerinin önceden oluşturulmuş olduğu devasa depolama tablolarını hedefteki şifrelere uydurma saldırıları türüdür. Bcrypt "tuzlaması" (salt) yüzünden bu tablolar tamamen etkisiz hale bürünür.
- Brute-Force (Kaba Kuvvet) Attack
- Bilgisayar performansı ne kadar yüksekse her bir şifreyi tek tek elemek o kadar hızlanır algısı. Algoritmadaki ağırlık yavaşlaması (kasten geç hesaplanması) milyonlarca şifreyi hızlı denemenin ve kaba kuvvetle çözmenin önünü kapatır.
- Key Stretching (Anahtar Uzatma)
- Şifre doğrulama/kırma başına geçecek zamanı kasten şişirmek için işlem gücünü tekrarlı döngülere sarma tekniği. Bcrypt içindeki Round belirteci işte tam bu iterasyon miktarını kontrol etmektedir.
SSS
- S.Şifrem buluta veya bir sunucuya gönderiliyor mu?
- Hayır. Tüm bcrypt hash oluşturma ve karşılaştırma işlemleri tamamen kendi tarayıcınızın JavaScript ortamında gerçekleştirilir. Şifreleriniz ve hash değerleriniz cihazınızı asla terk etmez.
- S.Bcrypt günümüzde hâlâ güvenli kabul ediliyor mu?
- Evet. 1999'daki yayınlanmasından bu yana bcrypt, şifre hashleme için en yaygın önerilen algoritmalardan biri olmaya devam etmektedir. Uygun bir maliyet (cost) faktörü ile modern donanım saldırılarına karşı güçlü bir koruma sağlar.
- S.Önerilen cost faktörü (rounds) kaçtır?
- 2024 itibarıyla genellikle 12–14 arasında bir maliyet (Rounds) faktörü önerilmektedir. Temel kural, sunucunuzun performansına da bağlı olarak tek bir hash işleminin tahmini 0.25–1 saniye civarında sürmesini sağlayacak değeri bulmaktır, böylece kullanılabilirlikten ödün vermeden saldırılara dirençli kalır.
- S.Bcrypt ile SHA-256 arasındaki fark nedir?
- SHA-256 çok hızlı ve genel amaçlı bir özetleme algoritmasıdır — şifre saklamak için fazla hızlıdır, bu da brute-force saldırganlarına büyük avantaj sağlar. bcrypt ise şifreler için özel tasarlanmıştır: bilerek yavaştır (maliyeti ayarlayabilirsiniz) ve otomatik olarak kendi kriptografik tuzunu (salt) içerir.
- S.Oluşturulan hash değerini nerede kullanacağım?
- Bir web uygulamasının kullanıcı doğrulama (login) senaryosunda, veritabanınızda düz şifreyi saklamak yerine sadece şifrenin bcrypt hash özetini saklamalısınız. Kullanıcı giriş yaptığında ise girdiği şifreyi tekrar özetler ve veritabanındaki hash ile aynı olup olmadığını karşılaştırırsınız.
- S.Orijinal şifreyi bulmak için bir bcrypt hash özetini tersine çevirebilir miyim (decrypt)?
- Hayır. bcrypt tek yönlü bir fonksiyondur. Oluşan hash diziliminden orijinal şifrenin türetilmesi matematiksel olarak imkânsızdır — bu, onu şifre depolamak için bu kadar güvenilir yapan en temel özelliklerden birisidir.
- S.Bunu akıllı telefonda kullanabilir miyim?
- Evet kullanabilirsiniz. Ancak çok yüksek bir maliyet/Cost (Rounds) değeri belirlerseniz, mobil cihaz işlemcileri masaüstü donanımlarına kıyasla yavaş olduğu için hash işleminin süresi telefonda fark edilir derecede uzayabilir.
Kullanım Senaryoları
Kimlik Depolama Doğrulaması
Kendi tasarladığınız Backend (sunucu) mimarinizde veya API altyapınızda kod yazmadan depolanan kayıt biçimini doğrulayın.
Giriş (Login) Simülasyonu
Sorun teşhisinde hızlı bir deneme sağlayarak, veritabanınıza sızan hash yapısının gerçek ve tahmini veriyle buluşup buluşmadığını tarayın.
Siber Güvenlik Eğitimi
Work Factor olarak adlandırılan yük maliyeti sayısının, işlem süresine ve güvenlik sağlamlığına karşı olan geciktirici reaksiyonunu deneysel çalışın.
Maliyet/Cost Test Analizi
Örneğin Production aşamasına geçmeden server makinenizle test ederek cost faktörü 10 yerine 12 olduğunda ne kadarlık bir gecikme açığı yansıdığını gözlemleyin.