Genera y verifica hashes de contraseñas bcrypt. Configura el factor de trabajo. Todo el hashing ocurre localmente en tu navegador — tus contraseñas nunca se envían a ningún servidor.
A random 128-bit (16 byte) salt is generated using a CSPRNG. Salts prevent rainbow table attacks - identical passwords produce different hashes.
The Eksblowfish algorithm runs 2^n iterations (where n is your cost factor). Doubling cost doubles compute time - making brute-force attacks proportionally harder.
The output encodes everything: $2b$12$[22-char salt][31-char hash]. The "$2b$12$" prefix tells bcrypt to use cost=12. No separate salt column needed.
$2b$12$eImiTAiTAi25sDB8iBjEJfF2PbO0oagzXCgKCQfHIFnOSuJl.J2
$2b$Algorithm version (2a, 2b, 2y)
12$Cost factor (2^12 = 4,096 rounds)
22 charsBase64-encoded salt (128 bits)
31 charsBase64-encoded hash (184 bits)
| Cost | Iterations | Approx Time | Recommendation |
|---|---|---|---|
| 10 | 1,024 | ~50-100ms | Minimum for new applications |
| 11 | 2,048 | ~100-200ms | Good for high-traffic APIs |
| 12 | 4,096 | ~200-400ms | Recommended default (2025) |
| 13 | 8,192 | ~400-800ms | High-security applications |
| 14 | 16,384 | ~800ms-1.6s | Maximum practical cost |
Times approximate on a modern server CPU. Always benchmark on your target hardware.
Also see the Hash Generator for MD5, SHA-1, SHA-256, SHA-512 and other cryptographic hash functions.
Bcrypt es una función de hashing de contraseñas diseñada para OpenBSD en 1999. A diferencia de MD5 o SHA, bcrypt es intencionalmente lento e intensivo en CPU, haciendo los ataques de fuerza bruta impracticables. Incorpora una sal automáticamente, previniendo ataques de tablas rainbow.
El factor de coste controla cuán lento es bcrypt. Cada incremento duplica el tiempo de cómputo. Para autenticación de usuarios, apunta a 100-300ms de tiempo de hash en tu servidor. Comienza en 12 y haz benchmarks.
Ambos son algoritmos modernos de hashing de contraseñas. Bcrypt está probado (25+ años). Argon2 ganó la Password Hashing Competition (2015) y es más resistente a ataques GPU usando memory-hardness. Para nuevas aplicaciones, Argon2id es la opción preferida.
Esta herramienta genera hashes bcrypt estándar compatibles con cualquier biblioteca bcrypt. El hashing se ejecuta completamente en tu navegador — no se envían contraseñas a servidores. Sin embargo, siempre genera hashes de contraseñas del lado del servidor en aplicaciones de producción.
Todo el hashing ocurre localmente en tu navegador. Las contraseñas nunca se transmiten ni almacenan.