KitMul MarkKitMul Text

Bcrypt-Hashes generieren und verifizieren

Hashen Sie Passworter und verifizieren Sie Bcrypt-Hashes sicher in Ihrem Browser.

Der Bcrypt-Hash-Generator ermöglicht es Ihnen, sichere Passwort-Hashes zu erstellen und vorhandene Hashes gegen Klartext-Passworter zu verifizieren; die gesamte Verarbeitung erfolgt lokal in Ihrem Browser, ohne Daten an einen Server zu senden.

Deine Daten bleiben in deinem Browser
War dieses Tool hilfreich?
Anleitung

Anleitung

1
1

Passwort eingeben

Geben Sie das Klartext-Passwort, das Sie hashen möchten, in das Passwortfeld ein oder fügen Sie es ein.

2
2

Konfigurieren und generieren

Passen Sie den Kostenfaktor-Regler (4-16) an, um die Hash-Starke zu steuern; klicken Sie dann auf Hash Generieren.

3
3

Hash verifizieren

Wechseln Sie zum Tab Verifizieren, geben Sie ein Passwort und einen vorhandenen Bcrypt-Hash ein; klicken Sie dann auf Verifizieren, um zu prüfen, ob sie übereinstimmen.

Guide

Vollständiger Leitfaden zum Bcrypt-Passwort-Hashing

Was ist Bcrypt und warum es verwenden?

Bcrypt ist ein Passwort-Hashing-Algorithmus, der 1999 von Niels Provos und David Mazieres erstellt würde. Im Gegensatz zu schnellen Hash-Funktionen wie MD5 oder SHA-256 ist Bcrypt absichtlich langsam, was Brute-Force-Angriffe rechenintensiv macht. Es generiert und bettet automatisch ein zufaelliges Salt in die Hash-Ausgabe ein und schützt so gegen vorberechnete Rainbow-Table-Angriffe. Der resultierende Hash-String enthaelt die Algorithmusversion, den Kostenfaktor, das Salt und den Hash in einem einzigen portablen Format.

Den Kostenfaktor verstehen

Der Kostenfaktor ist eine Ganzzahl zwischen 4 und 31, die die Anzahl der Schluesselexpansionsrunden als Potenz von 2 steuert. Ein Kostenfaktor von 10 führt 1024 Runden durch, während ein Kostenfaktor von 12 4096 Runden durchführt. Da die Rechenleistung im Laufe der Zeit zunimmt, können Sie den Kostenfaktor erhöhen, um die Sicherheit aufrechtzuerhalten, ohne Ihre Hashing-Infrastruktur zu ändern. Die OWASP Foundation empfiehlt einen Mindestkostenfaktor von 10, wobei 12 ein guter Kompromiss zwischen Sicherheit und Benutzererfahrung für die meisten Webanwendungen ist.

Bcrypt-Hash-Format erklärt

Ein Bcrypt-Hash-String sieht so aus: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Das erste Segment ($2a$) identifiziert die Bcrypt-Version. Das zweite Segment ($10$) ist der Kostenfaktor. Die nächsten 22 Zeichen sind das base64-kodierte Salt, und die restlichen 31 Zeichen sind der base64-kodierte Hash. Dieses eigenständige Format bedeutet, dass Sie das Salt nie separat speichern müssen; es ist direkt in den Hash-String eingebettet.

Best Practices für Passwort-Hashing

Hashen Sie Passwoerter in Produktionssystemen immer serverseitig, niemals clientseitig. Verwenden Sie einen Kostenfaktor von mindestens 10 und benchmarken Sie Ihren Server, um den höchsten Kostenfaktor zu finden, der die Anmeldezeit unter einer Sekunde haelt. Speichern Sie niemals Klartext-Passwoerter, auch nicht vorübergehend. Wenn Benutzer ihr Passwort ändern, generieren Sie einen komplett neuen Hash, anstatt den bestehenden zu aktualisieren. Erwaegen Sie die Migration zu Argon2id für neue Projekte, wenn Ihre Plattform es unterstützt, da es Speicherhaerte-Widerstand bietet.

Sources

Examples

Geloeste Beispiele

Beispiel: Passwort mit Kostenfaktor 10 hashen

Gegeben: Passwort = "MySecureP@ss123", Kostenfaktor = 10

1

Schritt 1: Generieren Sie ein zufaelliges 16-Byte-Salt und kodieren Sie es in Base64 (22 Zeichen).

2

Schritt 2: Führen Sie die Blowfish-Schluesselplanung 2^10 = 1024 Mal mit dem Passwort und Salt durch.

3

Schritt 3: Verschluesseln Sie die magische Zeichenkette "OrpheanBeholderScryDoubt" 64 Mal mit dem resultierenden Schlüssel, um den Hash zu erzeugen.

Ergebnis: $2a$10$<22-Zeichen-Salt><31-Zeichen-Hash> (insgesamt 60 Zeichen)

Beispiel: Passwort gegen einen gespeicherten Hash verifizieren

Gegeben: Passwort = "MySecureP@ss123", gespeicherter Hash = "$2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy"

1

Schritt 1: Extrahieren Sie den Kostenfaktor (10) und das Salt aus dem gespeicherten Hash-String.

2

Schritt 2: Hashen Sie das angegebene Passwort mit dem extrahierten Salt und Kostenfaktor.

3

Schritt 3: Vergleichen Sie den neu generierten Hash mit dem gespeicherten Hash Byte für Byte mit einem Vergleich in konstanter Zeit.

Ergebnis: Übereinstimmung = wahr (das Passwort ist korrekt)

Anwendungsfälle

Anwendungsfälle

Sichere Passwortspeicherung

Bevor Sie Benutzerpassworter in einer Datenbank speichern, hashen Sie sie mit Bcrypt, um sicherzustellen, dass Angreifer selbst bei einer Kompromittierung der Datenbank die urspruenglichen Klartext-Passworter nicht wiederherstellen können. Der adaptive Kostenfaktor ermöglicht es, die Schwierigkeit zu erhöhen, wenn die Hardware besser wird.

Passwort-Migrationstests

Bei der Migration von Authentifizierungssystemen verwenden Sie dieses Tool, um zu verifizieren, dass vorhandene Bcrypt-Hashes nach der Migration weiterhin mit den Benutzerpasswortern übereinstimmen und keine Anmeldedaten während des Übergangsprozesses verloren gehen.

Sicherheitsaudit und Verifizierung

Während Penetrationstests oder Sicherheitsaudits verifizieren Sie, dass Passworter ordnungsgemass mit Bcrypt gehasht sind und der Kostenfaktor die Mindestsicherheitsstandards Ihrer Organisation gegen Brute-Force-Angriffe erfuellt.

Häufig gestellte Fragen

?Was ist Bcrypt?

Bcrypt ist eine Passwort-Hashing-Funktion, die von Niels Provos und David Mazieres basierend auf der Blowfish-Chiffre entwickelt würde. Sie integriert ein Salt zum Schutz gegen Rainbow-Table-Angriffe und einen adaptiven Kostenfaktor, der sie absichtlich langsam macht und die Widerstandsfähigkeit gegen Brute-Force-Angriffe erhöht.

?Was ist der Kostenfaktor?

Der Kostenfaktor (auch Arbeitsfaktor oder Runden genannt) bestimmt, wie rechenintensiv die Hashing-Operation ist. Er wird als Potenz von 2 ausgedrueckt; ein Kostenfaktor von 10 bedeutet 2^10 (1024) Iterationen. Höhere Werte erzeugen stärkere Hashes, benoetigen aber länger zur Berechnung. Ein Wert von 10-12 wird für die meisten Anwendungen empfohlen.

?Warum kann ich einen Bcrypt-Hash nicht entschluesseln?

Bcrypt ist eine Einweg-Hashing-Funktion, was bedeutet, dass es mathematisch unmöglich ist, sie umzukehren. Sie können nur überprüfen, ob ein gegebenes Passwort mit einem Hash übereinstimmt, indem Sie denselben Hashing-Prozess ausführen und die Ergebnisse vergleichen. Dies ist bewusst so für die Sicherheit.

?Wie lange dauert das Hashing?

Die Hashing-Zeit haengt vom Kostenfaktor ab. Bei Kostenfaktor 10 dauert es typischerweise etwa 100ms. Jede Erhöhung verdoppelt ungefähr die Zeit, sodass Kostenfaktor 12 etwa 400ms dauert und Kostenfaktor 16 mehrere Sekunden dauern kann. Das Tool laeuft in Ihrem Browser, daher haengt die Leistung von Ihrem Gerät ab.

?Ist Bcrypt im Jahr 2024 noch sicher?

Ja. Bcrypt wird weiterhin weithin für das Passwort-Hashing empfohlen. Obwohl neuere Algorithmen wie Argon2 zusaetzlichen Schutz bieten (Speicherhaerte), gilt Bcrypt mit einem Kostenfaktor von 12 oder höher immer noch als sicher gegen Brute-Force- und GPU-basierte Angriffe für die Passwortspeicherung.

?Sind meine Daten bei der Nutzung dieses Tools privat?

Ja. Alle Hashing- und Verifizierungsoperationen laufen vollständig in Ihrem Browser mit JavaScript. Es werden keine Passwoerter oder Hashes an einen Server übertragen, gespeichert oder protokolliert. Ihre Daten verlassen nie Ihr Gerät.

?Ist dieses Bcrypt-Tool kostenlos?

Ja. Dieses Tool ist vollständig kostenlos nutzbar, ohne Limits, ohne Registrierung und ohne Werbung. Sie können so viele Hashes generieren und verifizieren, wie Sie benoetigen.

Hilf uns besser zu werden

Wie gefällt Ihnen dieses Tool?

Jedes Tool bei Kitmul wird auf Basis echter Nutzeranfragen gebaut. Ihre Bewertung und Ihre Vorschläge helfen uns, Bugs zu beheben, fehlende Funktionen hinzuzufügen und die Tools zu bauen, die Sie wirklich brauchen.

Dieses Tool bewerten

Tippen Sie auf einen Stern, um uns zu sagen, wie nützlich dieses Tool für Sie war.

Vorschlag machen oder Bug melden

Eine Funktion fehlt? Einen Bug gefunden? Haben Sie eine Idee? Sagen Sie es uns und wir schauen es uns an.

Ähnliche Tools

Hash-Generator

Generieren Sie MD5-, SHA-1-, SHA-256- und SHA-512-Hashes aus beliebigem Text sofort.

Tool testen

Zufalls-Token-Generator

Kryptographisch sichere zufaellige Tokens und Geheimnisse sofort generieren.

Tool testen

Hashtag-Generator

Generieren Sie trendige Hashtags für Ihre Posts.

Tool testen
Empfohlene Lektüre

Empfohlene Bücher über Kryptographie und Sicherheit

Real-World Cryptography

Real-World Cryptography

David Wong

Introduction to Modern Cryptography

Introduction to Modern Cryptography

Jonathan Katz

Cybersecurity for Beginners

Cybersecurity for Beginners

Raef Meeuwisse

Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Erweitern Sie Ihre Fähigkeiten

Sicherheitstools und Hardware

YubiKey 5 NFC - USB- und NFC-Sicherheitsschluessel für Zwei-Faktor-Authentifizierung

YubiKey 5 NFC - USB- und NFC-Sicherheitsschluessel für Zwei-Faktor-Authentifizierung

Yubico

Trezor Model One - Hardware-Wallet für Kryptowaehrungen

Trezor Model One - Hardware-Wallet für Kryptowaehrungen

Trezor

Ledger Nano S Plus - Hardware-Wallet für Kryptowaehrungen

Ledger Nano S Plus - Hardware-Wallet für Kryptowaehrungen

Ledger

Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Newsletter

Erhalte Produktivitätstipps und Neue Tools Zuerst

Schließe dich Machern und Entwicklern an, die Datenschutz schätzen. Jede Ausgabe: neue Tools, Produktivitäts-Hacks und Updates — kein Spam.

Prioritätszugang zu neuen Tools
Jederzeit abbestellen, ohne Rückfragen