Genera e verifica gli hash delle password bcrypt. Configura il fattore di lavoro e l'algoritmo.
Un salt casuale di 128 bit (16 byte) viene generato con un CSPRNG. I salt prevengono gli attacchi con tabelle arcobaleno — password identiche producono hash diversi.
L'algoritmo Eksblowfish esegue 2^n iterazioni (n è il tuo fattore di costo). Raddoppiare il costo raddoppia il tempo di calcolo — rendendo gli attacchi brute-force proporzionalmente più difficili.
L'output codifica tutto: $2b$12$[salt di 22 char][hash di 31 char]. Il prefisso "$2b$12$" dice a bcrypt di usare cost=12. Non è necessaria una colonna salt separata.
$2b$12$eImiTAiTAi25sDB8iBjEJfF2PbO0oagzXCgKCQfHIFnOSuJl.J2
$2b$Versione algoritmo (2a, 2b, 2y)
12$Fattore di costo (2^12 = 4.096 round)
22 caratteriSalt codificato in Base64 (128 bit)
31 caratteriHash codificato in Base64 (184 bit)
| Costo | Iterazioni | Tempo appros. | Raccomandazione |
|---|---|---|---|
| 10 | 1.024 | ~50-100ms | Minimo per nuove applicazioni |
| 11 | 2.048 | ~100-200ms | Buono per API ad alto traffico |
| 12 | 4.096 | ~200-400ms | Default raccomandato (2025) |
| 13 | 8.192 | ~400-800ms | Applicazioni ad alta sicurezza |
| 14 | 16.384 | ~800ms-1.6s | Costo pratico massimo |
Tempi approssimativi su un moderno CPU server. Esegui sempre benchmark sull'hardware target.
Vedi anche il Generatore di Hash per MD5, SHA-1, SHA-256, SHA-512 e altre funzioni di hash crittografiche.
Bcrypt è una funzione di hash delle password progettata da Niels Provos e David Mazières per OpenBSD nel 1999. A differenza di MD5 o SHA, bcrypt è intenzionalmente lento e intensivo in CPU, rendendo impraticabili gli attacchi brute-force. Incorpora automaticamente un salt, prevenendo gli attacchi con tabelle arcobaleno. Usa bcrypt (o Argon2) per tutti i memorizzazioni di password — non memorizzare mai password in chiaro o con hash veloci (MD5/SHA).
Il fattore di costo (fattore di lavoro) controlla quanto è lento bcrypt. Ogni incremento raddoppia il tempo di calcolo. Per l'autenticazione degli utenti, punta a 100-300ms di tempo di hash sul tuo hardware server. Inizia da 12 e fai benchmark — usa il valore più alto che mantiene il tempo di login sotto i 500ms. Più alto è più sicuro ma più lento. Il costo 10 è il minimo raccomandato per le nuove applicazioni nel 2025.
Entrambi sono algoritmi moderni di hash delle password. Bcrypt è collaudato (25+ anni) e ampiamente supportato. Argon2 ha vinto il Password Hashing Competition (2015) ed è più resistente agli attacchi GPU grazie all'intensità della memoria. Argon2id (la variante consigliata) combina Argon2i e Argon2d per resistere sia agli attacchi sul canale laterale che agli attacchi GPU. Per le nuove applicazioni, Argon2id è la scelta preferita.
Questo strumento genera hash bcrypt standard compatibili con qualsiasi libreria bcrypt. L'hashing viene eseguito interamente nel tuo browser usando la libreria bcryptjs — nessuna password viene inviata ai server. Tuttavia, genera sempre gli hash delle password lato server nelle applicazioni di produzione. Le demo lato client sono solo per scopi di apprendimento e test.
Tutte le operazioni di hash avvengono localmente nel tuo browser. Le password non vengono mai trasmesse o archiviate.