KitMul MarkKitMul Text

Generer et verifier des hashes Bcrypt

Hachez des mots de passe et verifiez des hashes bcrypt en toute securite dans votre navigateur.

Le Generateur de Hash Bcrypt vous permet de creer des hashes de mots de passe securises et de verifier des hashes existants contre des mots de passe en clair; tout le traitement se fait localement dans votre navigateur sans envoyer de donnees a un serveur.

Vos données restent dans votre navigateur
Tutorial

Comment utiliser

1
1

Entrez un mot de passe

Tapez ou collez le mot de passe en clair que vous souhaitez hacher dans le champ de mot de passe.

2
2

Configurez et generez

Ajustez le curseur du facteur de cout (4-16) pour controler la force du hash; puis cliquez sur Generer le Hash.

3
3

Verifiez un hash

Passez a l'onglet Verifier, entrez un mot de passe et un hash bcrypt existant; puis cliquez sur Verifier pour voir s'ils correspondent.

Guide

Guide complet du hachage de mots de passe avec Bcrypt

Qu'est-ce que Bcrypt et pourquoi l'utiliser ?

Bcrypt est un algorithme de hachage de mots de passe cree en 1999 par Niels Provos et David Mazieres. Contrairement aux fonctions de hachage rapides comme MD5 ou SHA-256, bcrypt est deliberement lent, rendant les attaques par force brute couteuses en calcul. Il genere et integre automatiquement un sel aleatoire dans la sortie du hash, protegeant contre les attaques par tables arc-en-ciel precalculees. La chaine de hash resultante contient la version de l'algorithme, le facteur de cout, le sel et le hash dans un format portable unique.

Comprendre le facteur de cout

Le facteur de cout est un entier entre 4 et 31 qui controle le nombre de tours d'expansion de cle en puissance de 2. Un cout de 10 effectue 1024 tours, tandis qu'un cout de 12 effectue 4096 tours. A mesure que la puissance de calcul augmente, vous pouvez augmenter le facteur de cout pour maintenir la securite sans changer votre infrastructure de hachage. La Fondation OWASP recommande un facteur de cout minimum de 10, 12 etant un bon equilibre entre securite et experience utilisateur pour la plupart des applications web.

Format du hash Bcrypt explique

Une chaine de hash bcrypt ressemble a $2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy. Le premier segment ($2a$) identifie la version de bcrypt. Le deuxieme segment ($10$) est le facteur de cout. Les 22 caracteres suivants sont le sel encode en base64, et les 31 caracteres restants sont le hash encode en base64. Ce format autonome signifie que vous n'avez jamais besoin de stocker le sel separement; il est integre directement dans la chaine de hash.

Meilleures pratiques pour le hachage de mots de passe

Hachez toujours les mots de passe cote serveur dans les systemes de production, jamais cote client. Utilisez un facteur de cout d'au moins 10, et faites des tests de performance sur votre serveur pour trouver le facteur de cout le plus eleve qui maintient le temps de connexion sous une seconde. Ne stockez jamais de mots de passe en clair, meme temporairement. Lorsque les utilisateurs changent leur mot de passe, generez un hash completement nouveau plutot que de mettre a jour l'existant. Envisagez de migrer vers Argon2id pour les nouveaux projets si votre plateforme le supporte, car il ajoute une resistance a la memoire.

Sources

Examples

Exemples resolus

Exemple : Hacher un mot de passe avec un facteur de cout de 10

Donne : mot de passe = "MySecureP@ss123", facteur de cout = 10

1

Etape 1 : Generer un sel aleatoire de 16 octets et l'encoder en base64 (22 caracteres).

2

Etape 2 : Executer la planification de cles Blowfish 2^10 = 1024 fois en utilisant le mot de passe et le sel.

3

Etape 3 : Chiffrer la chaine magique "OrpheanBeholderScryDoubt" 64 fois avec la cle resultante pour produire le hash.

Resultat : $2a$10$<22-car-sel><31-car-hash> (60 caracteres au total)

Exemple : Verifier un mot de passe contre un hash stocke

Donne : mot de passe = "MySecureP@ss123", hash stocke = "$2a$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy"

1

Etape 1 : Extraire le facteur de cout (10) et le sel de la chaine de hash stockee.

2

Etape 2 : Hacher le mot de passe fourni en utilisant le sel et le facteur de cout extraits.

3

Etape 3 : Comparer le hash nouvellement genere avec le hash stocke octet par octet en utilisant une comparaison en temps constant.

Resultat : Correspondance = vrai (le mot de passe est correct)

Use Cases

Cas d'utilisation

Stockage securise des mots de passe

Avant de stocker les mots de passe des utilisateurs dans une base de donnees, hachez-les avec bcrypt pour garantir que, meme si la base de donnees est compromise, les attaquants ne puissent pas recuperer les mots de passe originaux en clair. Le facteur de cout adaptatif permet d'augmenter la difficulte a mesure que le materiel s'ameliore.

Tests de migration de mots de passe

Lors de la migration de systemes d'authentification, utilisez cet outil pour verifier que les hashes bcrypt existants correspondent toujours aux mots de passe des utilisateurs apres la migration, en vous assurant qu'aucune identification n'est perdue pendant le processus de transition.

Audit et verification de securite

Lors de tests de penetration ou d'audits de securite, verifiez que les mots de passe sont correctement haches avec bcrypt et que le facteur de cout respecte les normes minimales de securite de votre organisation contre les attaques par force brute.

Questions frequemment posees

?Qu'est-ce que bcrypt ?

Bcrypt est une fonction de hachage de mots de passe concue par Niels Provos et David Mazieres basee sur le chiffrement Blowfish. Elle incorpore un sel pour proteger contre les attaques par tables arc-en-ciel et un facteur de cout adaptatif qui la rend intentionnellement lente, augmentant la resistance aux attaques par force brute.

?Qu'est-ce que le facteur de cout ?

Le facteur de cout (egalement appele facteur de travail ou tours) determine le cout de calcul de l'operation de hachage. Il est exprime en puissance de 2; un cout de 10 signifie 2^10 (1024) iterations. Des valeurs plus elevees produisent des hashes plus forts mais prennent plus de temps a calculer. Une valeur de 10-12 est recommandee pour la plupart des applications.

?Pourquoi ne puis-je pas dechiffrer un hash bcrypt ?

Bcrypt est une fonction de hachage unidirectionnelle, ce qui signifie qu'il est mathematiquement impossible de l'inverser. Vous pouvez uniquement verifier si un mot de passe donne correspond a un hash en executant le meme processus de hachage et en comparant les resultats. C'est par conception pour la securite.

?Combien de temps prend le hachage ?

Le temps de hachage depend du facteur de cout. Avec un cout de 10, cela prend generalement environ 100ms. Chaque increment double approximativement le temps, donc un cout de 12 prend environ 400ms et un cout de 16 peut prendre plusieurs secondes. L'outil s'execute dans votre navigateur, donc les performances dependent de votre appareil.

?Bcrypt est-il encore securise en 2024 ?

Oui. Bcrypt reste largement recommande pour le hachage de mots de passe. Bien que des algorithmes plus recents comme Argon2 offrent des protections supplementaires (resistance a la memoire), bcrypt avec un facteur de cout de 12 ou plus est toujours considere comme securise contre les attaques par force brute et basees sur GPU pour le stockage de mots de passe.

?Mes donnees sont-elles privees en utilisant cet outil ?

Oui. Toutes les operations de hachage et de verification s'executent entierement dans votre navigateur en JavaScript. Aucun mot de passe ni hash n'est transmis a un serveur, stocke ou enregistre. Vos donnees ne quittent jamais votre appareil.

?Cet outil bcrypt est-il gratuit ?

Oui. Cet outil est entierement gratuit sans limites, sans inscription requise et sans publicites. Vous pouvez generer et verifier autant de hashes que necessaire.

Outils associés

Générateur de Hash

Générez des hashes MD5, SHA-1, SHA-256 et SHA-512 à partir de n'importe quel texte instantanément.

Essayer l'outil

Generateur de Tokens Aleatoires

Generez des tokens et secrets aleatoires cryptographiquement securises instantanement.

Essayer l'outil

Générateur de Hashtags

Générez des hashtags populaires pour vos posts.

Essayer l'outil
Aidez-nous à améliorer

Aimez-vous cet outil ?

Chaque outil Kitmul est construit à partir de vraies demandes d'utilisateurs. Votre note et vos suggestions nous aident à corriger des bugs, ajouter des fonctionnalités manquantes et créer les outils dont vous avez vraiment besoin.

Notez cet outil

Cliquez sur une étoile pour nous dire si cet outil vous a été utile.

Suggérez une amélioration ou signalez un bug

Une fonctionnalité manque ? Vous avez trouvé un bug ? Une idée ? Dites-le-nous et nous l'examinerons.

Lectures Recommandées

Livres recommandes sur la cryptographie et la securite

Real-World Cryptography

Real-World Cryptography

David Wong

Introduction to Modern Cryptography

Introduction to Modern Cryptography

Jonathan Katz

Cybersecurity for Beginners

Cybersecurity for Beginners

Raef Meeuwisse

En tant que partenaire Amazon, nous percevons une commission sur les achats qualifiés.

Boostez vos Compétences

Outils et materiel de securite

YubiKey 5 NFC - Cle de securite USB et NFC pour l'authentification a deux facteurs

YubiKey 5 NFC - Cle de securite USB et NFC pour l'authentification a deux facteurs

Yubico

Trezor Model One - Portefeuille materiel pour cryptomonnaies

Trezor Model One - Portefeuille materiel pour cryptomonnaies

Trezor

Ledger Nano S Plus - Portefeuille materiel pour cryptomonnaies

Ledger Nano S Plus - Portefeuille materiel pour cryptomonnaies

Ledger

En tant que partenaire Amazon, nous percevons une commission sur les achats qualifiés.

Newsletter

Recevez des Conseils Productivité et les Nouveaux Outils en Premier

Rejoignez les créateurs et développeurs qui valorisent la confidentialité. Chaque édition : nouveaux outils, astuces productivité et mises à jour — sans spam.

Accès prioritaire aux nouveaux outils
Désabonnez-vous à tout moment, sans questions