KitMul MarkKitMul Text

Generer et vérifier des hashes Bcrypt

Hachez des mots de passe et vérifiez des hashes bcrypt en toute sécurité dans votre navigateur.

Le Générateur de Hash Bcrypt vous permet de créer des hashes de mots de passe sécurisés et de vérifier des hashes existants contre des mots de passe en clair; tout le traitément se fait localement dans votre navigateur sans envoyer de données à un serveur.

Vos données restent dans votre navigateur
Cet outil vous a-t-il été utile ?
Tutoriel

Comment utiliser

1
1

Entrez un mot de passe

Tapez ou collez le mot de passe en clair que vous souhaitez hacher dans le champ de mot de passe.

2
2

Configurez et générez

Ajustez le curseur du facteur de coût (4-16) pour contrôler la force du hash; puis cliquez sur Generer le Hash.

3
3

Vérifiez un hash

Passez à l'onglet Vérifier, entrez un mot de passe et un hash bcrypt existant; puis cliquez sur Vérifier pour voir s'ils correspondent.

Guide

Guide complet du hachage de mots de passe avec Bcrypt

Qu'est-ce que Bcrypt et pourquoi l'utiliser ?

Bcrypt est un algorithme de hachage de mots de passe créé en 1999 par Niels Provos et David Mazieres. Contrairement aux fonctions de hachage rapides comme MD5 ou SHA-256, bcrypt est delibérément lent, rendant les attaques par force brute couteuses en calcul. Il généré et intégré automatiquement un sel aléatoire dans la sortie du hash, protégéant contre les attaques par tables arc-en-ciel precalculees. La chaine de hash resultante contient la version de l'algorithme, le facteur de coût, le sel et le hash dans un format portable unique.

Comprendre le facteur de coût

Le facteur de coût est un entier entre 4 et 31 qui contrôle le nombre de tours d'expansion de clé en puissance de 2. Un coût de 10 effectue 1024 tours, tandis qu'un coût de 12 effectue 4096 tours. A mesure que la puissance de calcul augmente, vous pouvez augmenter le facteur de coût pour maintenir la sécurité sans changer votre infrastructure de hachage. La Fondation OWASP recommandé un facteur de coût minimum de 10, 12 etant un bon équilibre entre sécurité et expérience utilisateur pour la plupart des applications web.

Format du hash Bcrypt explique

Une chaine de hash bcrypt ressemble a $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Le premier segment ($2a$) identifié la version de bcrypt. Le deuxieme segment ($10$) est le facteur de coût. Les 22 caractères suivants sont le sel encode en basé64, et les 31 caractères restants sont le hash encode en basé64. Ce format autonome signifie que vous n'avez jamais besoin de stocker le sel séparément; il est intégré directement dans la chaine de hash.

Meilleures pratiques pour le hachage de mots de passe

Hachez toujours les mots de passe côté serveur dans les systèmes de production, jamais côté client. Utilisez un facteur de coût d'au moins 10, et faites des tests de performance sur votre serveur pour trouver le facteur de coût le plus élevé qui maintient le temps de connexion sous une seconde. Ne stockez jamais de mots de passe en clair, même temporairement. Lorsque les utilisateurs changent leur mot de passe, générez un hash complètement nouveau plutot que de mettre à jour l'existant. Envisagez de migrer vers Argon2id pour les nouveaux projets si votre plateforme le supporte, car il ajoute une resistance à la memoire.

Sources

Examples

Exemples resolus

Exemple : Hacher un mot de passe avec un facteur de coût de 10

Donne : mot de passe = "MySecureP@ss123", facteur de coût = 10

1

Étape 1 : Generer un sel aléatoire de 16 octets et l'encoder en basé64 (22 caractères).

2

Étape 2 : Executer la planification de clés Blowfish 2^10 = 1024 fois en utilisant le mot de passe et le sel.

3

Étape 3 : Chiffrer la chaine magique "OrpheanBeholderScryDoubt" 64 fois avec la clé resultante pour produire le hash.

Résultat : $2a$10$<22-car-sel><31-car-hash> (60 caractères au total)

Exemple : Vérifier un mot de passe contre un hash stocke

Donne : mot de passe = "MySecureP@ss123", hash stocke = "$2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy"

1

Étape 1 : Extraire le facteur de coût (10) et le sel de la chaine de hash stockée.

2

Étape 2 : Hacher le mot de passe fourni en utilisant le sel et le facteur de coût extraits.

3

Étape 3 : Comparer le hash nouvellement généré avec le hash stocke octet par octet en utilisant une comparaison en temps constant.

Résultat : Correspondance = vrai (le mot de passe est correct)

Cas d'utilisation

Cas d'utilisation

Stockage securise des mots de passe

Avant de stocker les mots de passe des utilisateurs dans une basé de données, hachez-les avec bcrypt pour garantir que, même si la basé de données est compromise, les attaquants ne puissent pas recuperer les mots de passe originaux en clair. Le facteur de coût adaptatif permet d'augmenter la difficulté à mesure que le materiel s'amélioré.

Tests de migration de mots de passe

Lors de la migration de systèmes d'authentification, utilisez cet outil pour vérifier que les hashes bcrypt existants correspondent toujours aux mots de passe des utilisateurs après la migration, en vous assurant qu'aucune identification n'est perdue pendant le processus de transition.

Audit et vérification de sécurité

Lors de tests de penetration ou d'audits de sécurité, vérifiez que les mots de passe sont correctement haches avec bcrypt et que le facteur de coût respecte les normes minimales de sécurité de votre organisation contre les attaques par force brute.

Questions fréquemment posées

?Qu'est-ce que bcrypt ?

Bcrypt est une fonction de hachage de mots de passe conçue par Niels Provos et David Mazieres basée sur le chiffrement Blowfish. Elle incorpore un sel pour protéger contre les attaques par tables arc-en-ciel et un facteur de coût adaptatif qui la rend intentionnellement lente, augmentant la resistance aux attaques par force brute.

?Qu'est-ce que le facteur de coût ?

Le facteur de coût (également appele facteur de travail ou tours) détermine le coût de calcul de l'operation de hachage. Il est exprime en puissance de 2; un coût de 10 signifie 2^10 (1024) iterations. Des valeurs plus élevées produisent des hashes plus forts mais prennent plus de temps a calculer. Une valeur de 10-12 est recommandée pour la plupart des applications.

?Pourquoi ne puis-je pas dechiffrer un hash bcrypt ?

Bcrypt est une fonction de hachage unidirectionnelle, ce qui signifie qu'il est mathématiquement impossible de l'inverser. Vous pouvez uniquement vérifier si un mot de passe donne correspond à un hash en executant le même processus de hachage et en comparant les résultats. C'est par conception pour la sécurité.

?Combien de temps prend le hachage ?

Le temps de hachage depend du facteur de coût. Avec un coût de 10, cela prend généralement environ 100ms. Chaque increment double approximativement le temps, donc un coût de 12 prend environ 400ms et un coût de 16 peut prendre plusieurs secondes. L'outil s'exécuté dans votre navigateur, donc les performances dependent de votre appareil.

?Bcrypt est-il encore securise en 2024 ?

Oui. Bcrypt reste largement recommandé pour le hachage de mots de passe. Bien que des algorithmes plus récents comme Argon2 offrent des protections supplémentaires (resistance à la memoire), bcrypt avec un facteur de coût de 12 ou plus est toujours considéré comme securise contre les attaques par force brute et basées sur GPU pour le stockage de mots de passe.

?Mes données sont-elles privées en utilisant cet outil ?

Oui. Toutes les operations de hachage et de vérification s'exécutént entièrement dans votre navigateur en JavaScript. Aucun mot de passe ni hash n'est transmis à un serveur, stocke ou enregistre. Vos données ne quittent jamais votre appareil.

?Cet outil bcrypt est-il gratuit ?

Oui. Cet outil est entièrement gratuit sans limites, sans inscription requise et sans publicités. Vous pouvez générer et vérifier autant de hashes que nécessaire.

Aidez-nous à améliorer

Aimez-vous cet outil ?

Chaque outil Kitmul est construit à partir de vraies demandes d'utilisateurs. Votre note et vos suggestions nous aident à corriger des bugs, ajouter des fonctionnalités manquantes et créer les outils dont vous avez vraiment besoin.

Notez cet outil

Cliquez sur une étoile pour nous dire si cet outil vous a été utile.

Suggérez une amélioration ou signalez un bug

Une fonctionnalité manque ? Vous avez trouvé un bug ? Une idée ? Dites-le-nous et nous l'examinerons.

Outils associés

Générateur de Hash

Générez des hashes MD5, SHA-1, SHA-256 et SHA-512 à partir de n'importe quel texte instantanément.

Essayer l'outil

Générateur de Tokens Aléatoires

Générez des tokens et secrets aléatoires cryptographiquement sécurisés instantanement.

Essayer l'outil

Générateur de Hashtags

Générez des hashtags populaires pour vos posts.

Essayer l'outil
Lectures Recommandées

Livres recommandés sur la cryptographie et la sécurité

Real-World Cryptography

Real-World Cryptography

David Wong

Introduction to Modern Cryptography

Introduction to Modern Cryptography

Jonathan Katz

Cybersecurity for Beginners

Cybersecurity for Beginners

Raef Meeuwisse

En tant que partenaire Amazon, nous percevons une commission sur les achats qualifiés.

Boostez vos Compétences

Outils et materiel de sécurité

YubiKey 5 NFC - Clé de sécurité USB et NFC pour l'authentification a deux facteurs

YubiKey 5 NFC - Clé de sécurité USB et NFC pour l'authentification a deux facteurs

Yubico

Trezor Model One - Portefeuille materiel pour cryptomonnaies

Trezor Model One - Portefeuille materiel pour cryptomonnaies

Trezor

Ledger Nano S Plus - Portefeuille materiel pour cryptomonnaies

Ledger Nano S Plus - Portefeuille materiel pour cryptomonnaies

Ledger

En tant que partenaire Amazon, nous percevons une commission sur les achats qualifiés.

Newsletter

Recevez des Conseils Productivité et les Nouveaux Outils en Premier

Rejoignez les créateurs et développeurs qui valorisent la confidentialité. Chaque édition : nouveaux outils, astuces productivité et mises à jour — sans spam.

Accès prioritaire aux nouveaux outils
Désabonnez-vous à tout moment, sans questions