Testeur Bcrypt

Générateur et vérificateur de hachage de mot de passe

Générez des hachages bcrypt sécurisés et vérifiez l'authentification par mot de passe. Parfait pour tester les systèmes de connexion et comprendre les rounds de coût bcrypt.

Comment utiliser

Choisir le mode
Sélectionnez 'Vérifier' pour vérifier si un mot de passe correspond à un hachage, ou 'Générer' pour créer un nouveau hachage bcrypt
Entrer le mot de passe
Saisissez le mot de passe en clair et le hachage (pour la vérification) ou juste le mot de passe (pour la génération)
Obtenir le résultat
Cliquez sur le bouton pour vérifier la correspondance ou générer le hachage. Ajustez les rounds de coût pour la génération (10 recommandé)

Tout le hachage et la vérification se font dans votre navigateur avec bcrypt.js. Aucun mot de passe n'est envoyé aux serveurs.

bcryptテスター

Testez si un mot de passe en clair correspond à un hachage bcrypt. Utile pour déboguer les problèmes d'authentification.

Mot de passe en clair

Hachage Bcrypt

Créez un hachage bcrypt sécurisé à partir d'un mot de passe en clair. Coût plus élevé = plus sécurisé mais plus lent.

Mot de passe en clair

Rounds de coût

Coût plus élevé = exponentiellement plus lent mais plus sécurisé contre les attaques par force brute

Cas d'utilisation

Tester les systèmes de connexion

Vérifiez que votre code d'authentification hache et compare correctement les mots de passe avant de déployer en production

Déboguer les problèmes d'authentification

Vérifiez si les échecs de connexion sont causés par une comparaison de mots de passe incorrecte ou des bugs de génération de hachage

Comprendre les rounds de coût

Expérimentez avec différents rounds de coût (8, 10, 12) pour équilibrer sécurité et performance pour votre application

Migration de mots de passe

Générez des hachages bcrypt lors de la migration d'algorithmes de hachage moins sécurisés (MD5, SHA-1) vers bcrypt

Audits de sécurité

Testez la force des mots de passe et vérifiez que votre système utilise des rounds de coût bcrypt appropriés (minimum 10)

Apprentissage et éducation

Comprenez comment bcrypt fonctionne, pourquoi c'est sécurisé et comment les rounds de coût affectent le temps de calcul

Qu'est-ce que Bcrypt ?

Bcrypt est une fonction de hachage de mots de passe conçue pour être lente et coûteuse en calcul, la rendant résistante aux attaques par force brute. C'est la norme industrielle pour stocker les mots de passe en toute sécurité.

Comment fonctionne Bcrypt

Bcrypt utilise le chiffrement Blowfish avec un sel et un facteur de coût. Le facteur de coût (rounds) détermine combien d'itérations l'algorithme effectue - chaque incrément double le temps de calcul, rendant les attaques exponentiellement plus difficiles.

Pourquoi utiliser Bcrypt ?

Contrairement à MD5/SHA qui sont rapides (mauvais pour les mots de passe), bcrypt est intentionnellement lent. Cela rend les attaques par force brute impraticables. Un coût de 10 signifie 2^10 (1 024) itérations, prenant ~100ms pour hacher - négligeable pour la connexion mais dévastateur pour les attaquants essayant des milliards de mots de passe.

Meilleures pratiques de sécurité

Utilisez un coût de 10-12 pour la plupart des applications. Le coût 10 est le minimum recommandé actuel. N'utilisez jamais MD5 ou SHA-1 pour les mots de passe - ils sont cassés. Ne stockez jamais de mots de passe en clair. Utilisez toujours bcrypt, Argon2 ou scrypt pour le hachage de mots de passe.

Questions fréquemment posées

Quels rounds de coût dois-je utiliser ?

Utilisez le coût 10 comme minimum (norme actuelle). Le coût 12 est meilleur pour les applications haute sécurité. Le coût 8 est trop faible pour les attaques modernes. Chaque incrément double le temps de calcul, donc testez les performances sur votre serveur avant de choisir.

Puis-je vérifier les hachages bcrypt sans clé secrète ?

Oui ! Bcrypt n'utilise pas de clé secrète - il utilise un sel intégré dans le hachage lui-même. Vous n'avez besoin que du mot de passe en clair et du hachage pour vérifier. C'est différent de HMAC.

Pourquoi la vérification prend-elle si longtemps ?

C'est le but ! Bcrypt est intentionnellement lent pour empêcher les attaques par force brute. S'il faut 100ms pour vérifier un mot de passe, il faudrait des années aux attaquants pour essayer des milliards de mots de passe.

Quel est le format d'un hachage bcrypt ?

Les hachages bcrypt ressemblent à : $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Format : $algorithme$coût$sel-hachage où algorithme est 2a/2b (versions bcrypt), coût est rounds, et sel-hachage est le sel et le hachage combinés.

Bcrypt est-il meilleur qu'Argon2 ?

Argon2 est plus récent et théoriquement meilleur (a gagné la Password Hashing Competition), mais bcrypt est toujours excellent et plus largement pris en charge. Les deux sont sécurisés - utilisez celui que votre framework/bibliothèque supporte bien.

Puis-je convertir les hachages MD5/SHA en bcrypt ?

Non, le hachage est unidirectionnel - vous ne pouvez pas convertir. Vous devez demander aux utilisateurs de réinitialiser les mots de passe ou re-hacher lors de leur prochaine connexion (double hachage temporaire : bcrypt(md5(password)), puis uniquement bcrypt après la prochaine connexion).

Cet outil stocke-t-il mes mots de passe ?

Non ! Tout le hachage et la vérification se font dans votre navigateur avec la bibliothèque bcrypt.js. Rien n'est envoyé à aucun serveur. Vous pouvez le vérifier en vous déconnectant d'Internet - ça fonctionne toujours.

Quelle est la différence entre bcrypt.js et bcrypt côté serveur ?

Ils produisent des hachages identiques en utilisant le même algorithme. La seule différence est la vitesse - côté serveur (Node.js, PHP) peut être plus rapide. Les deux sont sécurisés et compatibles.