KitMul MarkKitMul Text

Generar y verificar hashes Bcrypt

Hashea contrasenas y verifica hashes bcrypt de forma segura en tu navegador.

El Generador de Hashes Bcrypt te permite crear hashes seguros de contrasenas y verificar hashes existentes contra contrasenas en texto plano; todo el procesamiento ocurre localmente en tu navegador sin enviar datos a ningun servidor.

Tus datos no salen de tu navegador
Tutorial

Como usar

1
1

Introduce una contrasena

Escribe o pega la contrasena en texto plano que deseas hashear en el campo de contrasena.

2
2

Configura y genera

Ajusta el deslizador del factor de coste (4-16) para controlar la fortaleza del hash; luego haz clic en Generar Hash.

3
3

Verifica un hash

Cambia a la pestana Verificar, introduce una contrasena y un hash bcrypt existente; luego haz clic en Verificar para comprobar si coinciden.

Guide

Guia completa de hasheo de contrasenas con Bcrypt

Que es Bcrypt y por que usarlo?

Bcrypt es un algoritmo de hasheo de contrasenas creado en 1999 por Niels Provos y David Mazieres. A diferencia de funciones hash rapidas como MD5 o SHA-256, bcrypt es deliberadamente lento, lo que hace que los ataques de fuerza bruta sean computacionalmente costosos. Genera e incrusta automaticamente un salt aleatorio en la salida del hash, protegiendo contra ataques de tablas arcoiris precalculadas. La cadena de hash resultante contiene la version del algoritmo, el factor de coste, el salt y el hash en un unico formato portable.

Entendiendo el factor de coste

El factor de coste es un entero entre 4 y 31 que controla el numero de rondas de expansion de clave como potencia de 2. Un coste de 10 realiza 1024 rondas, mientras que un coste de 12 realiza 4096 rondas. A medida que la potencia de calculo aumenta con el tiempo, puedes elevar el factor de coste para mantener la seguridad sin cambiar tu infraestructura de hasheo. La Fundacion OWASP recomienda un factor de coste minimo de 10, siendo 12 un buen equilibrio entre seguridad y experiencia de usuario para la mayoria de aplicaciones web.

Formato del hash Bcrypt explicado

Una cadena de hash bcrypt se ve asi: $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. El primer segmento ($2a$) identifica la version de bcrypt. El segundo segmento ($10$) es el factor de coste. Los siguientes 22 caracteres son el salt codificado en base64, y los 31 caracteres restantes son el hash codificado en base64. Este formato autocontenido significa que nunca necesitas almacenar el salt por separado; esta incrustado directamente en la cadena de hash.

Mejores practicas para el hasheo de contrasenas

Siempre hashea las contrasenas del lado del servidor en sistemas de produccion, nunca del lado del cliente. Usa un factor de coste de al menos 10 y haz benchmarks en tu servidor para encontrar el factor de coste mas alto que mantenga el tiempo de inicio de sesion por debajo de un segundo. Nunca almacenes contrasenas en texto plano, ni siquiera temporalmente. Cuando los usuarios cambien su contrasena, genera un hash completamente nuevo en lugar de actualizar el existente. Considera migrar a Argon2id para nuevos proyectos si tu plataforma lo soporta, ya que anade resistencia a memoria.

Sources

Examples

Ejemplos resueltos

Ejemplo: Hashear una contrasena con factor de coste 10

Dado: contrasena = "MySecureP@ss123", factor de coste = 10

1

Paso 1: Generar un salt aleatorio de 16 bytes y codificarlo en base64 (22 caracteres).

2

Paso 2: Ejecutar la programacion de claves Blowfish 2^10 = 1024 veces usando la contrasena y el salt.

3

Paso 3: Cifrar la cadena magica "OrpheanBeholderScryDoubt" 64 veces con la clave resultante para producir el hash.

Resultado: $2a$10$<22-char-salt><31-char-hash> (60 caracteres en total)

Ejemplo: Verificar una contrasena contra un hash almacenado

Dado: contrasena = "MySecureP@ss123", hash almacenado = "$2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy"

1

Paso 1: Extraer el factor de coste (10) y el salt de la cadena de hash almacenada.

2

Paso 2: Hashear la contrasena proporcionada usando el salt y factor de coste extraidos.

3

Paso 3: Comparar el hash recien generado con el hash almacenado byte a byte usando comparacion en tiempo constante.

Resultado: Coincidencia = verdadero (la contrasena es correcta)

Use Cases

Casos de uso

Almacenamiento seguro de contrasenas

Antes de almacenar contrasenas de usuarios en una base de datos, hashealas con bcrypt para garantizar que, incluso si la base de datos se ve comprometida, los atacantes no puedan recuperar las contrasenas originales en texto plano. El factor de coste adaptativo permite aumentar la dificultad a medida que el hardware mejora.

Pruebas de migracion de contrasenas

Al migrar sistemas de autenticacion, usa esta herramienta para verificar que los hashes bcrypt existentes sigan coincidiendo con las contrasenas de los usuarios despues de la migracion, asegurando que no se pierdan credenciales durante el proceso de transicion.

Auditoria y verificacion de seguridad

Durante pruebas de penetracion o auditorias de seguridad, verifica que las contrasenas esten correctamente hasheadas con bcrypt y que el factor de coste cumpla los estandares minimos de seguridad de tu organizacion contra ataques de fuerza bruta.

Preguntas frecuentes

?Que es bcrypt?

Bcrypt es una funcion de hasheo de contrasenas disenada por Niels Provos y David Mazieres basada en el cifrado Blowfish. Incorpora un salt para proteger contra ataques de tablas arcoiris y un factor de coste adaptativo que lo hace intencionalmente lento, aumentando la resistencia a ataques de fuerza bruta.

?Que es el factor de coste?

El factor de coste (tambien llamado factor de trabajo o rondas) determina lo computacionalmente costosa que es la operacion de hasheo. Se expresa como potencia de 2; un coste de 10 significa 2^10 (1024) iteraciones. Valores mas altos producen hashes mas fuertes pero tardan mas en calcularse. Se recomienda un valor de 10-12 para la mayoria de aplicaciones.

?Por que no puedo descifrar un hash bcrypt?

Bcrypt es una funcion de hasheo unidireccional, lo que significa que es matematicamente inviable revertirla. Solo puedes verificar si una contrasena dada coincide con un hash ejecutando el mismo proceso de hasheo y comparando los resultados. Esto es por diseno para la seguridad.

?Cuanto tiempo tarda el hasheo?

El tiempo de hasheo depende del factor de coste. Con coste 10, normalmente tarda unos 100ms. Cada incremento aproximadamente duplica el tiempo, asi que coste 12 tarda unos 400ms y coste 16 puede tardar varios segundos. La herramienta se ejecuta en tu navegador, por lo que el rendimiento depende de tu dispositivo.

?Bcrypt sigue siendo seguro en 2024?

Si. Bcrypt sigue siendo ampliamente recomendado para el hasheo de contrasenas. Aunque algoritmos mas nuevos como Argon2 ofrecen protecciones adicionales (resistencia a memoria), bcrypt con un factor de coste de 12 o superior todavia se considera seguro contra ataques de fuerza bruta y basados en GPU para almacenamiento de contrasenas.

?Mis datos son privados al usar esta herramienta?

Si. Todas las operaciones de hasheo y verificacion se ejecutan completamente en tu navegador usando JavaScript. No se transmiten contrasenas ni hashes a ningun servidor, ni se almacenan ni registran. Tus datos nunca salen de tu dispositivo.

?Es gratuita esta herramienta de bcrypt?

Si. Esta herramienta es completamente gratuita sin limites, sin necesidad de registro y sin anuncios. Puedes generar y verificar tantos hashes como necesites.

Herramientas relacionadas

Generador de Hash

Genera hashes MD5, SHA-1, SHA-256 y SHA-512 de cualquier texto al instante.

Probar herramienta

Generador de Tokens Aleatorios

Genera tokens y secretos aleatorios criptograficamente seguros al instante.

Probar herramienta

Generador de Hashtags

Genera hashtags populares para tus publicaciones.

Probar herramienta
Ayúdanos a mejorar

¿Qué te parece esta herramienta?

Cada herramienta de Kitmul se construye a partir de peticiones reales de usuarios. Tu valoración y tus sugerencias nos ayudan a arreglar bugs, añadir funciones que faltan y construir las herramientas que realmente necesitas.

Valora esta herramienta

Pulsa una estrella para contarnos lo útil que te ha resultado.

Sugiere una mejora o reporta un bug

¿Te falta alguna función? ¿Has encontrado un fallo? ¿Tienes una idea? Cuéntanoslo y lo revisaremos.

Lectura Recomendada

Libros recomendados sobre criptografia y seguridad

Real-World Cryptography

Real-World Cryptography

David Wong

Introduction to Modern Cryptography

Introduction to Modern Cryptography

Jonathan Katz

Cybersecurity for Beginners

Cybersecurity for Beginners

Raef Meeuwisse

Como asociado de Amazon, ganamos con las compras que califican.

Potencia tus Capacidades

Herramientas y hardware de seguridad

YubiKey 5 NFC - Llave de seguridad USB y NFC de autenticacion de dos factores

YubiKey 5 NFC - Llave de seguridad USB y NFC de autenticacion de dos factores

Yubico

Trezor Model One - Billetera de hardware para criptomonedas

Trezor Model One - Billetera de hardware para criptomonedas

Trezor

Ledger Nano S Plus - Billetera de hardware para criptomonedas

Ledger Nano S Plus - Billetera de hardware para criptomonedas

Ledger

Como asociado de Amazon, ganamos con las compras que califican.

Boletín

Recibe Consejos de Productividad y Nuevas Herramientas Primero

Únete a creadores y desarrolladores que valoran la privacidad. En cada edición: nuevas herramientas, trucos de productividad y novedades — sin spam.

Acceso prioritario a nuevas herramientas
Cancela en cualquier momento, sin preguntas