— Sobre esta ferramenta
bcrypt é uma função de hashing de senhas projetada para ser deliberadamente lenta, o que torna os ataques de força bruta caros. Ela incorpora o salt no hash e expõe um cost factor (fator de trabalho) que você pode aumentar ao longo do tempo, conforme o hardware fica mais rápido. Esta ferramenta gera o hash de uma senha e também verifica uma senha em texto puro contra um hash bcrypt armazenado, para que você possa testar a lógica de autenticação sem escrever um script.
A geração de hash e a verificação são executadas localmente no seu navegador via bcryptjs, então as senhas nunca são transmitidas. Um cost factor de 10–12 é um padrão sensato para a maioria das aplicações; valores mais altos são mais seguros, porém mais lentos. Observe que o bcrypt trunca entradas com mais de 72 bytes — para segredos mais longos, gere um pré-hash deles.
As senhas têm o hash gerado e verificado localmente — nada é enviado a lugar algum.
Perguntas frequentes
Qual cost factor devo usar?
Um cost de 10 a 12 equilibra segurança e velocidade para logins web típicos. Cada incremento dobra o trabalho; faça benchmark no hardware de produção e escolha o maior valor que mantenha a geração do hash abaixo de cerca de 250ms.
Por que a mesma senha gera um hash diferente a cada vez?
O bcrypt gera um salt aleatório para cada hash e o armazena dentro da saída, então senhas idênticas produzem hashes diferentes. A verificação ainda funciona porque o salt é lido de volta do hash que está sendo verificado.
Posso recuperar a senha original a partir de um hash?
Não — o bcrypt é unidirecional por design. Você só pode verificar se uma senha candidata corresponde a um hash, que é exatamente o que o modo Verificar faz aqui.