KitMul MarkKitMul Text

Generar y verificar hashes Bcrypt

Hashea contraseñas y verifica hashes bcrypt de forma segura en tu navegador.

El Generador de Hashes Bcrypt te permite crear hashes seguros de contraseñas y verificar hashes existentes contra contraseñas en texto plano; todo el procesamiento ocurre localmente en tu navegador sin enviar datos a ningún servidor.

Tus datos no salen de tu navegador
¿Te ha sido útil está herramienta?
Tutorial

Cómo usar

1
1

Introduce una contraseña

Escribe o pega la contraseña en texto plano que deseas hashear en el campo de contraseña.

2
2

Configura y genera

Ajusta el deslizador del factor de coste (4-16) para controlar la fortaleza del hash; luego haz clic en Generar Hash.

3
3

Verifica un hash

Cambia a la pestaña Verificar, introduce una contraseña y un hash bcrypt existente; luego haz clic en Verificar para comprobar si coinciden.

Guide

Guía completa de hasheo de contraseñas con Bcrypt

Qué es Bcrypt y por que usarlo?

Bcrypt es un algoritmo de hasheo de contraseñas creado en 1999 por Niels Provos y David Mazieres. A diferencia de funciones hash rapidas como MD5 o SHA-256, bcrypt es deliberadamente lento, lo que hace que los ataques de fuerza bruta sean computacionalmente costosos. Genera e incrusta automáticamente un salt aleatorio en la salida del hash, protegiendo contra ataques de tablas arcoiris precalculadas. La cadena de hash resultante contiene la versión del algoritmo, el factor de coste, el salt y el hash en un único formato portable.

Entendiendo el factor de coste

El factor de coste es un entero entré 4 y 31 que controla el número de rondas de expansión de clave como potencia de 2. Un coste de 10 realiza 1024 rondas, mientras que un coste de 12 realiza 4096 rondas. A medida que la potencia de cálculo aumenta con el tiempo, puedes elevar el factor de coste para mantener la seguridad sin cambiar tu infraestructura de hasheo. La Fundacion OWASP recomienda un factor de coste mínimo de 10, siendo 12 un buen equilibrio entré seguridad y experiencia de usuario para la mayoría de aplicaciones web.

Formato del hash Bcrypt explicado

Una cadena de hash bcrypt se ve así: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. El primer segmento ($2a$) identifica la versión de bcrypt. El segundo segmento ($10$) es el factor de coste. Los siguientes 22 caracteres son el salt codificado en base64, y los 31 caracteres restantes son el hash codificado en base64. Este formato autocontenido significa que nunca necesitas almacenar el salt por separado; está incrustado directamente en la cadena de hash.

Mejores prácticas para el hasheo de contraseñas

Siempre hashea las contraseñas del lado del servidor en sistemas de producción, nunca del lado del cliente. Usa un factor de coste de al menos 10 y haz benchmarks en tu servidor para encontrar el factor de coste más alto que mantenga el tiempo de inició de sesión por debajo de un segundo. Nunca almacenes contraseñas en texto plano, ni siquiera temporalmente. Cuando los usuarios cambien su contraseña, genera un hash completamente nuevo en lugar de actualizar el existente. Considera migrar a Argon2id para nuevos proyectos si tu plataforma lo soporta, ya que añade resistencia a memoria.

Sources

Examples

Ejemplos resueltos

Ejemplo: Hashear una contraseña con factor de coste 10

Dado: contraseña = "MySecureP@ss123", factor de coste = 10

1

Paso 1: Generar un salt aleatorio de 16 bytes y codificarlo en base64 (22 caracteres).

2

Paso 2: Ejecutar la programación de claves Blowfish 2^10 = 1024 veces usando la contraseña y el salt.

3

Paso 3: Cifrar la cadena mágica "OrpheanBeholderScryDoubt" 64 veces con la clave resultante para producir el hash.

Resultado: $2a$10$<22-char-salt><31-char-hash> (60 caracteres en total)

Ejemplo: Verificar una contraseña contra un hash almacenado

Dado: contraseña = "MySecureP@ss123", hash almacenado = "$2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy"

1

Paso 1: Extraer el factor de coste (10) y el salt de la cadena de hash almacenada.

2

Paso 2: Hashear la contraseña proporcionada usando el salt y factor de coste extraídos.

3

Paso 3: Comparar el hash recien generado con el hash almacenado byte a byte usando comparación en tiempo constante.

Resultado: Coincidencia = verdadero (la contraseña es correcta)

Casos de uso

Casos de uso

Almacenamiento seguro de contraseñas

Antes de almacenar contraseñas de usuarios en una base de datos, hashealas con bcrypt para garantizar que, incluso si la base de datos se ve comprometida, los atacantes no puedan recuperar las contraseñas originales en texto plano. El factor de coste adaptativo permite aumentar la dificultad a medida que el hardware mejora.

Pruebas de migración de contraseñas

Al migrar sistemas de autenticación, usa está herramienta para verificar que los hashes bcrypt existentes sigan coincidiendo con las contraseñas de los usuarios después de la migración, asegurando que no se pierdan credenciales durante el proceso de transición.

Auditoría y verificación de seguridad

Durante pruebas de penetración o auditorías de seguridad, verifica que las contraseñas esten correctamente hasheadas con bcrypt y que el factor de coste cumpla los estándares mínimos de seguridad de tu organización contra ataques de fuerza bruta.

Preguntas frecuentes

?Qué es bcrypt?

Bcrypt es una función de hasheo de contraseñas diseñada por Niels Provos y David Mazieres basada en el cifrado Blowfish. Incorpora un salt para proteger contra ataques de tablas arcoiris y un factor de coste adaptativo que lo hace intencionalmente lento, aumentando la resistencia a ataques de fuerza bruta.

?Qué es el factor de coste?

El factor de coste (también llamado factor de trabajó o rondas) determina lo computacionalmente costosa que es la operación de hasheo. Se expresa como potencia de 2; un coste de 10 significa 2^10 (1024) iteraciones. Valores más altos producen hashes más fuertes pero tardan mas en calcularse. Se recomienda un valor de 10-12 para la mayoría de aplicaciones.

?Por qué no puedo descifrar un hash bcrypt?

Bcrypt es una función de hasheo unidireccional, lo que significa que es matemáticamente inviable revertirla. Solo puedes verificar si una contraseña dada coincide con un hash ejecutando el mismo proceso de hasheo y comparando los resultados. Esto es por diseño para la seguridad.

?Cuánto tiempo tarda el hasheo?

El tiempo de hasheo depende del factor de coste. Con coste 10, normalmente tarda unos 100ms. Cada incremento aproximadamente duplica el tiempo, así que coste 12 tarda unos 400ms y coste 16 puede tardar varios segundos. La herramienta se ejecuta en tu navegador, por lo que el rendimiento depende de tu dispositivo.

?Bcrypt sigue siendo seguro en 2024?

Si. Bcrypt sigue siendo ampliamente recomendado para el hasheo de contraseñas. Aunque algoritmos más nuevos como Argon2 ofrecen protecciones adicionales (resistencia a memoria), bcrypt con un factor de coste de 12 o superior todavía se considera seguro contra ataques de fuerza bruta y basados en GPU para almacenamiento de contraseñas.

?Mis datos son privados al usar está herramienta?

Si. Todas las operaciones de hasheo y verificación se ejecutan completamente en tu navegador usando JavaScript. No se transmiten contraseñas ni hashes a ningún servidor, ni se almacenan ni registran. Tus datos nunca salen de tu dispositivo.

?Es gratuita está herramienta de bcrypt?

Si. Está herramienta es completamente gratuita sin límites, sin necesidad de registró y sin anuncios. Puedes generar y verificar tantos hashes como necesites.

Ayúdanos a mejorar

¿Qué te parece está herramienta?

Cada herramienta de Kitmul se construye a partir de peticiones reales de usuarios. Tu valoración y tus sugerencias nos ayudan a arreglar bugs, añadir funciones que faltan y construir las herramientas que realmente necesitas.

Valora está herramienta

Pulsa una estrella para contarnos lo útil que te ha resultado.

Sugiere una mejora o reporta un bug

¿Te falta alguna función? ¿Has encontrado un falló? ¿Tienes una idea? Cuéntanoslo y lo revisaremos.

Herramientas relacionadas

Generador de Hash

Genera hashes MD5, SHA-1, SHA-256 y SHA-512 de cualquier texto al instante.

Probar herramienta

Generador de Tokens Aleatorios

Genera tokens y secretos aleatorios criptograficamente seguros al instante.

Probar herramienta

Generador de Hashtags

Genera hashtags populares para tus publicaciones.

Probar herramienta
Lectura Recomendada

Libros recomendados sobre criptografía y seguridad

Real-World Cryptography

Real-World Cryptography

David Wong

Introduction to Modern Cryptography

Introduction to Modern Cryptography

Jonathan Katz

Cybersecurity for Beginners

Cybersecurity for Beginners

Raef Meeuwisse

Cómo asociado de Amazon, ganamos con las compras que califican.

Potencia tus Capacidades

Herramientas y hardware de seguridad

YubiKey 5 NFC - Llave de seguridad USB y NFC de autenticación de dos factores

YubiKey 5 NFC - Llave de seguridad USB y NFC de autenticación de dos factores

Yubico

Trezor Model One - Billetera de hardware para criptomonedas

Trezor Model One - Billetera de hardware para criptomonedas

Trezor

Ledger Nano S Plus - Billetera de hardware para criptomonedas

Ledger Nano S Plus - Billetera de hardware para criptomonedas

Ledger

Cómo asociado de Amazon, ganamos con las compras que califican.

Boletín

Recibe Consejos de Productividad y Nuevas Herramientas Primero

Únete a creadores y desarrolladores que valoran la privacidad. En cada edición: nuevas herramientas, trucos de productividad y novedades — sin spam.

Acceso prioritario a nuevas herramientas
Cancela en cualquier momento, sin preguntas