— À propos de cet outil
bcrypt est une fonction de hachage de mot de passe conçue pour être délibérément lente, ce qui rend les attaques par force brute coûteuses. Elle intègre le sel dans le hachage et expose un facteur de coût (facteur de travail) que vous pouvez augmenter au fil du temps à mesure que le matériel devient plus rapide. Cet outil hache un mot de passe et vérifie également un mot de passe en clair par rapport à un hachage bcrypt stocké, ce qui vous permet de tester votre logique d'authentification sans écrire de script.
Le hachage et la vérification s'exécutent localement dans votre navigateur via bcryptjs, de sorte que les mots de passe ne sont jamais transmis. Un facteur de coût de 10 à 12 est une valeur par défaut judicieuse pour la plupart des applications ; des valeurs plus élevées sont plus sûres mais plus lentes. Notez que bcrypt tronque les entrées au-delà de 72 octets — pour les secrets plus longs, pré-hachez-les.
Les mots de passe sont hachés et vérifiés localement — rien n'est envoyé nulle part.
Questions fréquentes
Quel facteur de coût dois-je utiliser ?
Un coût de 10 à 12 équilibre sécurité et rapidité pour les connexions web courantes. Chaque étape double le travail ; faites des tests de performance sur votre matériel de production et choisissez la valeur la plus élevée qui maintient le hachage en dessous d'environ 250 ms.
Pourquoi le même mot de passe produit-il un hachage différent à chaque fois ?
bcrypt génère un sel aléatoire pour chaque hachage et le stocke à l'intérieur de la sortie, de sorte que des mots de passe identiques produisent des hachages différents. La vérification fonctionne quand même, car le sel est relu depuis le hachage à vérifier.
Puis-je récupérer le mot de passe d'origine à partir d'un hachage ?
Non — bcrypt est unidirectionnel par conception. Vous pouvez uniquement vérifier si un mot de passe candidat correspond à un hachage, ce qui est exactement ce que fait le mode Vérifier ici.