Gerador e Verificador de Hash Bcrypt
Gere hashes de senha bcrypt com um fator de custo configurável (rodadas 4-15) e verifique se uma senha em texto simples corresponde a um hash bcrypt existente. Inclui uma decomposição visual da anatomia do hash, medidor de segurança em tempo real, estimador de custo vs. velocidade e explicação das variantes ($2a$, $2b$, $2y$).
Seu bloqueador de anúncios está impedindo a exibição de anúncios
O MiniWebtool é gratuito graças aos anúncios. Se esta ferramenta ajudou você, apoie-nos indo para o Premium (sem anúncios + ferramentas mais rápidas) ou coloque MiniWebtool.com na lista de permissões e recarregue a página.
- Ou faça upgrade para o Premium (sem anúncios)
- Permita anúncios para MiniWebtool.com e recarregue
Gerador e Verificador de Hash Bcrypt
Bem-vindo ao Gerador e Verificador de Hash Bcrypt — uma ferramenta online gratuita que permite gerar hashes de senha bcrypt criptograficamente seguros com um fator de custo configurável e verificar se uma senha em texto simples corresponde a um hash bcrypt existente. Seja você alguém alimentando um banco de dados, depurando um fluxo de login, migrando usuários entre sistemas ou aprendendo sobre hashing adaptativo de senhas, esta ferramenta oferece resultados instantâneos, além de uma decomposição visual educativa de como o bcrypt estrutura seu formato de hash de 60 caracteres.
O que é Bcrypt e Por Que Usá-lo?
O bcrypt é uma função adaptativa de hashing de senhas baseada na cifra Blowfish, projetada em 1999 por Niels Provos e David Mazières. Ao contrário de hashes criptográficos rápidos, como SHA-256 ou MD5, o bcrypt é intencionalmente lento e inclui um fator de custo ajustável que pode ser aumentado conforme o hardware evolui. Cada hash bcrypt também incorpora um sal (salt) aleatório exclusivo, o que impede que invasores usem tabelas rainbow pré-computadas. A OWASP recomenda o bcrypt como um dos quatro algoritmos de hashing de senha aceitáveis para armazenar credenciais de usuário em aplicações web modernas.
Fator de Custo: O Coração da Segurança do Bcrypt
O fator de custo (também chamado de fator de trabalho ou rodadas) controla o quão computacionalmente caro é o hash. Ele é logarítmico: cada +1 dobra o trabalho. Um custo de 12 leva cerca de 250 milissegundos em uma CPU moderna típica; um custo de 14 leva cerca de 1 segundo. A tabela abaixo mostra os tempos de computação estimados para cada nível de custo — escolha um valor que seja rápido o suficiente para seu fluxo de login, mas lento o suficiente para frustrar invasores.
| Custo | Rodadas | Tempo Est. | Força | Recomendado Para |
|---|---|---|---|---|
| 4 | 2^4 |
< 1 ms | Apenas testes — nunca produção | |
| 5 | 2^5 |
2 ms | Apenas testes — nunca produção | |
| 6 | 2^6 |
4 ms | Apenas testes — nunca produção | |
| 7 | 2^7 |
8 ms | Apenas testes — nunca produção | |
| 8 | 2^8 |
16 ms | Sistemas legados | |
| 9 | 2^9 |
31 ms | Sistemas legados | |
| 10 | 2^10 |
62 ms | Mínimo para produção | |
| 11 | 2^11 |
125 ms | Mínimo para produção | |
| 12 | 2^12 |
250 ms | Padrão recomendado | |
| 13 | 2^13 |
500 ms | Apps de alta segurança | |
| 14 | 2^14 |
1.00 s | Força máxima | |
| 15 | 2^15 |
2.00 s | Força máxima |
Anatomia do Hash Bcrypt
Todo hash bcrypt tem exatamente 60 caracteres e segue uma estrutura fixa. Entender cada segmento torna muito mais fácil depurar problemas de login ou migrar hashes entre sistemas:
$2b$ → variante do algoritmo$12$ → fator de custo (2^12 = 4096 rodadas)7i..qTPY7p4ZLvKIepRKwe → sal base64 de 22 caractereslX0JB55DviohJT.JYruzy4EN6cl.q8O → digest hasheado de 31 caracteres
A Codificação do Sal e do Digest
O bcrypt utiliza um alfabeto base64 customizado que é semelhante ao base64 padrão, mas usa ./ em vez de +/ e não usa preenchimento (padding). Isso é puramente histórico e não afeta a segurança. O sal possui 16 bytes aleatórios, codificados como 22 caracteres base64; o digest possui 23 bytes, codificados como 31 caracteres.
Variantes do Bcrypt Explicadas
Você encontrará vários prefixos de bcrypt em uso. Todos produzem hashes com a mesma estrutura, mas possuem origens distintas:
Como Usar Esta Ferramenta
- Escolha o modo: Selecione Gerar Hash para criar um novo hash bcrypt, ou Verificar Hash para checar se uma senha corresponde a um hash existente.
- Digite a senha: Digite a senha em texto simples no campo de entrada. O medidor de bytes avisa se sua senha se aproxima do limite de 72 bytes do bcrypt.
- Defina o fator de custo: No modo Gerar, arraste o controle deslizante para escolher um fator de custo entre 4 e 15. O tempo de computação estimado e a classificação de segurança são atualizados em tempo real.
- Cole o hash para verificar: No modo Verificar, cole o hash bcrypt de 60 caracteres existente começando com
$2a$,$2b$,$2x$ou$2y$. - Execute e leia o resultado: Clique no botão de ação. O modo Gerar retorna o hash com uma decomposição anatômica codificada por cores; o modo Verificar mostra um grande indicador de CORRESPONDÊNCIA ou SEM CORRESPONDÊNCIA com o fator de custo original.
O Limite de Senha de 72 Bytes
O bcrypt é construído sobre a fase de configuração de chave do Blowfish, que consome apenas os primeiros 72 bytes da senha. Senhas com mais de 72 bytes são truncadas silenciosamente por bibliotecas antigas ou rejeitadas categoricamente por bibliotecas mais novas. Observe que os bytes importam, não os caracteres — um único emoji tem 4 bytes, e a maioria dos caracteres não-ASCII ocupa de 2 a 4 bytes em UTF-8. Se sua aplicação aceita senhas arbitrariamente longas, a mitigação padrão é fazer um pré-hash da senha com SHA-256 e codificar o digest em base64 antes de passá-lo para o bcrypt; isso produz uma entrada fixa de 44 bytes que cabe confortavelmente dentro do limite.
Quando Escolher Bcrypt vs. Argon2 vs. Scrypt
As recomendações modernas de hashing de senhas da OWASP e IETF (RFC 9106) listam quatro algoritmos aceitáveis: Argon2id (preferido para novas aplicações), bcrypt, scrypt e PBKDF2. Escolha o bcrypt quando:
- Você precisa de ampla compatibilidade — toda linguagem mainstream possui uma biblioteca bcrypt madura
- Você está trabalhando com um sistema existente que já utiliza bcrypt
- Você deseja um algoritmo testado em batalha com mais de 25 anos de criptoanálise
- Hashing com uso intensivo de memória (Argon2id, scrypt) é impraticável para o seu ambiente
Escolha o Argon2id se estiver construindo um sistema novo sem restrições de compatibilidade — ele é o vencedor moderno da Password Hashing Competition e oferece resistência contra ataques de GPU e FPGA que o bcrypt não consegue igualar.
Casos de Uso Práticos
Para Desenvolvedores
- Alimente bancos de dados de desenvolvimento com usuários de teste realistas sem executar todo o fluxo de registro
- Gere dados de fixture para testes de integração que exercitem o caminho de login
- Depure logins com falha verificando o hash de produção contra a senha que o usuário relata
- Migre hashes legados
$2a$para$2b$re-hasheando no próximo login - Ajuste o fator de custo para seu ambiente de produção medindo o tempo real de computação
Para Engenheiros de Segurança
- Verifique se um serviço de autenticação de terceiros está produzindo hashes no fator de custo que alega
- Audite o armazenamento de senhas inspecionando a variante e o custo do hash em amostras de produção
- Construa material de treinamento que mostre como a anatomia do bcrypt o torna resistente a tabelas rainbow
Para Aprendizes
- Gere a mesma senha duas vezes para ver como o sal produz hashes diferentes
- Experimente diferentes fatores de custo para sentir o efeito de duplicação em primeira mão
- Verifique um hash conhecido para entender como o bcrypt extrai o custo e o sal antes de hashear a candidata
Perguntas Frequentes
Qual fator de custo devo usar para o bcrypt?
A OWASP recomenda atualmente um fator de custo de pelo menos 10, sendo 12 um bom padrão moderno que leva cerca de 250 milissegundos em um servidor típico. O custo é logarítmico, então cada +1 dobra o trabalho. O custo 14 é apropriado para aplicações de alta segurança, enquanto o custo 15 é o máximo prático para logins interativos. Nunca use um custo abaixo de 10 em produção.
Qual é a diferença entre $2a$, $2b$, $2x$ e $2y$?
Todas as quatro são variantes de bcrypt distinguidas pelo seu prefixo. $2a$ é a revisão original; $2x$ e $2y$ foram correções de emergência do PHP para um bug de extensão de sinal descoberto em 2011; $2b$ é a implementação de referência moderna que corrigiu um bug de wraparound em senhas longas. Hashes gerados com qualquer variante permanecem verificáveis. Bibliotecas modernas produzem $2b$ por padrão e você deve preferi-lo para novos hashes.
A senha que eu digito é enviada para um servidor?
O formulário é processado no lado do servidor via HTTPS para realizar a computação do bcrypt, mas nem a senha nem o hash resultante são registrados ou armazenados — cada solicitação é processada e descartada. Para paranoia absoluta sobre senhas de teste, nunca cole uma senha de produção real em qualquer ferramenta online. Use esta ferramenta com senhas de teste descartáveis ou em um ambiente de desenvolvimento local.
Por que o bcrypt tem um limite de senha de 72 bytes?
O bcrypt é construído sobre a fase de configuração de chave do Blowfish, que consome apenas os primeiros 72 bytes de entrada. Senhas com mais de 72 bytes são truncadas silenciosamente por bibliotecas antigas ou rejeitadas por bibliotecas mais novas. Para suportar senhas arbitrariamente longas, faça um pré-hash com SHA-256 e codifique o digest em base64 antes de passá-lo para o bcrypt. Esta ferramenta avisa quando sua senha excede o limite.
Posso verificar um hash que foi gerado por outra biblioteca bcrypt?
Sim. Todas as implementações de bcrypt seguem o mesmo formato de transmissão ($variant$cost$salt+digest, 60 caracteres no total) e produzem hashes interoperáveis. Um hash feito por Node.js bcrypt, PHP password_hash, Python passlib, Spring Security ou qualquer biblioteca compatível será verificado corretamente aqui, desde que o prefixo da variante seja reconhecido.
Por que gerar a mesma senha duas vezes resulta em um hash diferente?
O bcrypt gera automaticamente um novo sal aleatório de 16 bytes para cada hash. O sal é misturado ao algoritmo e incorporado na saída, de modo que dois hashes da mesma senha virtualmente nunca são idênticos. A verificação funciona porque o checkpw extrai o custo e o sal do hash armazenado e executa novamente o bcrypt com esses parâmetros exatos antes de comparar o digest.
Posso recuperar a senha original de um hash bcrypt?
Não. O bcrypt é uma função de via única — não há operação de descriptografia. A única maneira de encontrar a senha original a partir de um hash é adivinhar senhas e passá-las pelo bcrypt com o mesmo custo e sal até que os digests correspondam, que é exatamente o que os invasores fazem durante um ataque de força bruta. O objetivo principal do custo adaptativo do bcrypt é tornar essas tentativas proibitivamente caras.
Funciona em dispositivos móveis?
Sim. A interface é totalmente responsiva e funciona em smartphones, tablets e desktops. A alternância de modo, o controle de custo e os painéis de resultados se adaptam a telas estreitas.
Recursos Adicionais
Cite este conteúdo, página ou ferramenta como:
"Gerador e Verificador de Hash Bcrypt" em https://MiniWebtool.com/br/gerador-e-verificador-de-hash-bcrypt/ de MiniWebtool, https://MiniWebtool.com/
pela equipe miniwebtool. Atualizado: 26 de abr. de 2026
Outras ferramentas relacionadas:
Hash e verificação:
- Calculadora de Soma de Verificação Adler32 Online
- Gerador de Hash Argon2
- Gerador de Hash BLAKE2b
- Calculadora de Soma de Verificação CRC32
- Calculadora de Checksum CRC64
- Gerador de Hash FNV-1a
- Gerador de Hash MD5
- Gerador MurmurHash3
- Gerador de Hash RIPEMD-160
- Gerador de Hash SHA1
- Gerador de Hash SHA224
- Gerador de Hash SHA256 Em Destaque
- Gerador de Hash SHA3-256
- Gerador de Hash SHA384 Online
- Gerador de Hash SHA3-384
- Gerador de Hash SHA3-512
- Gerador de Hash SHA512
- Gerador de Hash Whirlpool
- Simulador de Criptografia RSA Passo a Passo
- Gerador e Verificador de Hash Bcrypt Novo