简化您的工作流程:搜索 miniwebtool。
添加插件
相关工具
Argon2哈希生成器FNV-1a 哈希生成器SHA256 哈希生成器Whirlpool 哈希生成器
主页 > 哈希与校验码 > Bcrypt 哈希生成器和校验器
 

Bcrypt 哈希生成器和校验器

生成带有可配置成本因子(4-15轮)的 Bcrypt 密码哈希,并验证明文密码是否与现有的 Bcrypt 哈希匹配。包含视觉化的哈希结构分析、实时安全计、成本与速度估算器,以及并排的变体说明($2a$、$2b$、$2y$)。

Bcrypt 哈希生成器和校验器
💡 快速示例 —— 点击自动填充表单
UTF-8 · 最大 72 字节
0 / 72 字节
Bcrypt 限制
成本因子 (工作轮次)
12 ~ 250 ms
4567 891011 12131415
安全强度: 非常强
60 个字符 · 以 $2a/$2b/$2x/$2y 开头

Embed Bcrypt 哈希生成器和校验器 Widget

Bcrypt 哈希生成器和校验器

欢迎使用 Bcrypt 哈希生成器和校验器 —— 这是一个免费的在线工具,可以让你生成具有可配置成本因子的加密安全 bcrypt 密码哈希,并校验明文密码是否与现有的 bcrypt 哈希匹配。无论你是在为数据库填充数据、调试登录流程、在系统间迁移用户,还是在学习自适应密码哈希,该工具都能为你提供即时结果,并对 bcrypt 60 字符哈希格式的结构进行直观的教学式解析。

什么是 Bcrypt?为什么要使用它?

Bcrypt 是一种基于 Blowfish 密码的自适应密码哈希函数,由 Niels Provos 和 David Mazières 于 1999 年设计。与 SHA-256 或 MD5 等快速加密哈希不同,bcrypt 被故意设计得很慢,并包含一个可随硬件提升而增加的可调成本因子。每个 bcrypt 哈希还包含一个唯一的随机,这可以防止攻击者使用预先计算好的彩虹表。OWASP 建议将 bcrypt 作为现代 Web 应用程序中存储用户凭据的四种可接受密码哈希算法之一。

成本因子:Bcrypt 安全性的核心

成本因子(也称为工作因子轮次)控制哈希的计算成本。它是对数级的:每增加 1,工作量就会翻倍。在典型的现代 CPU 上,成本 12 大约需要 250 毫秒;成本 14 大约需要 1 秒。下表显示了每个成本级别的估计计算时间 —— 请选择一个对于登录流程足够快,但对于攻击者又足够慢的值。

成本 轮次 估算时间 强度 推荐用途
4 2^4 < 1 毫秒 不安全 仅用于测试 —— 严禁用于生产
5 2^5 2 毫秒 不安全 仅用于测试 —— 严禁用于生产
6 2^6 4 毫秒 不安全 仅用于测试 —— 严禁用于生产
7 2^7 8 毫秒 不安全 仅用于测试 —— 严禁用于生产
8 2^8 16 毫秒 旧系统
9 2^9 31 毫秒 尚可 旧系统
10 2^10 62 毫秒 良好 生产环境最低限度
11 2^11 125 毫秒 生产环境最低限度
12 2^12 250 毫秒 非常强 推荐默认值
13 2^13 500 毫秒 卓越 高安全性应用
14 2^14 1.00 秒 极高 最高强度
15 2^15 2.00 秒 极高 最高强度

Bcrypt 哈希结构解析

每个 bcrypt 哈希长度正好是 60 个字符,并遵循固定结构。了解每个部分可以更轻松地调试登录问题或在系统之间迁移哈希:

$2b$12$7i..qTPY7p4ZLvKIepRKwelX0JB55DviohJT.JYruzy4EN6cl.q8O   $2b$ → 算法变体
  $12$ → 成本因子 (2^12 = 4096 轮次)
  7i..qTPY7p4ZLvKIepRKwe → 22 字符 base64 盐
  lX0JB55DviohJT.JYruzy4EN6cl.q8O → 31 字符哈希摘要

盐和摘要编码

Bcrypt 使用一种自定义的 base64 字母表,与标准 base64 类似,但使用 ./ 代替 +/ 且不使用填充。这纯粹是历史原因,不影响安全性。盐是 16 个随机字节,编码为 22 个 base64 字符;摘要是 23 个字节,编码为 31 个字符。

Bcrypt 变体详解

在实际应用中,你会遇到几种 bcrypt 前缀。虽然生成的哈希结构相同,但它们的来源不同:

$2a$
原始 bcrypt 修订版,在旧系统中无处不在,且仍由较旧的库生成。与 $2b$ 兼容以进行校验。
$2b$
现代参考实现。修复了超过 255 字节的长密码绕回漏洞。新哈希请使用此版本。
$2x$
针对 2011 年 PHP 符号扩展漏洞的紧急修复。标记使用有缺陷的实现生成的哈希,以便进行迁移。
$2y$
2011 年漏洞后的 PHP 专用修正版本。对于 ASCII 密码,在功能上与 $2b$ 相同。

如何使用此工具

  1. 选择模式:选择生成哈希来创建新的 bcrypt 哈希,或者选择校验哈希来检查密码是否与现有哈希匹配。
  2. 输入密码:在输入框中输入明文密码。如果密码接近 bcrypt 的 72 字节限制,字节计数器会提醒你。
  3. 设置成本因子:在生成模式下,拖动滑块选择 4 到 15 之间的成本因子。估计的计算时间和安全评级将实时更新。
  4. 粘贴要校验的哈希:在校验模式下,粘贴以 $2a$$2b$$2x$$2y$ 开头的现有 60 字符 bcrypt 哈希。
  5. 执行并查看结果:点击操作按钮。生成模式下会返回带有颜色标记结构解析的哈希;校验模式下会显示巨大的“匹配”或“不匹配”指示器,并显示原始成本因子。

72 字节密码限制

Bcrypt 建立在 Blowfish 密钥设置阶段之上,该阶段仅消耗密码的前 72 个字节。超过 72 字节的密码会被旧库静默截断,或者被新库直接拒绝。请注意,限制的是字节而非字符 —— 单个表情符号是 4 个字节,大多数非 ASCII 字符在 UTF-8 中占用 2-4 个字节。如果你的应用程序接受任意长度的密码,标准的缓解措施是在传给 bcrypt 之前先用 SHA-256 对密码进行哈希处理并对摘要进行 base64 编码;这将产生固定的 44 字节输入,可以轻松容纳在限制范围内。

何时选择 Bcrypt vs. Argon2 vs. Scrypt

OWASP 和 IETF (RFC 9106) 的现代密码哈希建议列出了四种可接受的算法:Argon2id(新应用首选)、bcrypt、scrypt 和 PBKDF2。在以下情况选择 bcrypt:

  • 你需要广泛的兼容性 —— 几乎所有主流语言都有成熟的 bcrypt 库
  • 你正在处理已使用 bcrypt 的现有系统
  • 你想要一种经过 25 年以上密码分析考验的成熟算法
  • 内存密集型哈希(Argon2id、scrypt)在你的环境中不切实际

如果你正在构建一个没有兼容性限制的新系统,请选择 Argon2id —— 它是密码哈希竞赛(Password Hashing Competition)的现代获胜者,提供了 bcrypt 无法企及的抵御 GPU 和 FPGA 攻击的能力。

实际应用场景

对于开发者

  • 为开发数据库生成真实的测试用户,无需运行完整的注册流程
  • 为集成测试生成固定数据,以便测试登录路径
  • 通过根据用户报告的密码验证生产哈希来调试失败的登录
  • 在下次登录时通过重新哈希将旧的 $2a$ 哈希迁移到 $2b$
  • 通过测量实际计算时间来为生产环境调整成本因子

对于安全工程师

  • 验证第三方身份验证服务是否按其声称的成本因子生成哈希
  • 通过检查生产样本中的哈希变体和成本来审计密码存储安全性
  • 编写培训材料,展示 bcrypt 的结构如何使其免受彩虹表攻击

对于学习者

  • 对同一密码生成两次哈希,观察盐如何产生不同的结果
  • 尝试不同的成本因子,亲身感受工作量翻倍的效果
  • 校验已知哈希,了解 bcrypt 如何在哈希候选密码之前提取成本和盐

常见问题解答

我应该使用多大的 bcrypt 成本因子?

OWASP 目前建议成本因子至少为 10,12 是一个很好的现代默认值,在典型服务器上耗时约 250 毫秒。成本是按对数计算的,因此每增加 1,工作量就会翻倍。成本 14 适用于高安全性的应用程序,而成本 15 是交互式登录的实际最大值。在生产环境中切勿使用低于 10 的成本。

$2a$、$2b$、$2x$ 和 $2y$ 之间有什么区别?

这四种都是以其前缀区分的 bcrypt 变体。$2a$ 是原始修订版本;$2x$ 和 $2y$ 是针对 2011 年发现的 PHP 符号扩展漏洞的紧急修复;$2b$ 是修复了长密码绕回漏洞的现代参考实现。使用任何变体生成的哈希仍然可以进行校验。现代库默认生成 $2b$,你应该在新的哈希中首选它。

我输入的密码会被发送到服务器吗?

表单通过 HTTPS 在服务器端处理以执行 bcrypt 计算,但密码和生成的哈希都不会被记录或存储 —— 每个请求在处理后都会被丢弃。如果对测试密码极度多疑,请切勿将真实的生产密码粘贴到任何在线工具中。请使用作废的测试密码或在本地开发环境中使用此工具。

为什么 bcrypt 有 72 字节的密码限制?

Bcrypt 算法建立在 Blowfish 密钥设置阶段之上,该阶段仅消耗输入的前 72 个字节。超过 72 字节的密码会被旧库静默截断或被新库拒绝。为了支持任意长度的密码,可以在传给 bcrypt 之前先使用 SHA-256 进行哈希并对摘要进行 base64 编码。当你的密码超过限制时,此工具会发出警告。

我可以校验由另一个 bcrypt 库生成的哈希吗?

可以。所有 bcrypt 实现都遵循相同的传输格式($变体$成本$盐+摘要,共 60 个字符)并生成互操作哈希。只要能识别变体前缀,由 Node.js bcrypt、PHP password_hash、Python passlib、Spring Security 或任何合规库生成的哈希都可以在此处正确校验。

为什么对同一个密码生成两次哈希结果不同?

Bcrypt 为每个哈希自动生成一个新的随机 16 字节盐。盐混入算法中并嵌入在输出中,因此同一个密码的两个哈希几乎永远不会相同。校验之所以可行,是因为 checkpw 从存储的哈希中提取成本和盐,并使用这些确切参数重新运行 bcrypt,然后比对摘要。

我可以从 bcrypt 哈希中找回原始密码吗?

不能。Bcrypt 是一种单向函数 —— 没有解密操作。从哈希中找回原始密码的唯一方法是猜测密码,并使用相同的成本和盐通过 bcrypt 运行它们,直到摘要匹配,这正是攻击者在暴力破解攻击中所做的。Bcrypt 自适应成本的全部意义就在于让这些猜测的代价极其昂贵。

它在移动设备上能用吗?

可以。界面完全采用响应式设计,适用于智能手机、平板电脑和台式机。模式切换、成本滑块和结果面板都能适应窄屏幕。

其他资源

引用此内容、页面或工具为:

"Bcrypt 哈希生成器和校验器" 于 https://MiniWebtool.com/zh-cn/bcrypt-哈希生成器和校验器/,来自 MiniWebtool,https://MiniWebtool.com/

由 miniwebtool 团队编写。更新日期:2026年4月26日

哈希与校验码:

常用工具:

随机信用卡生成器MAC地址查找彩票号码生成器网址提取器凯利公式计算器相对标准偏差计算器英尺英寸转换为厘米🌡️ 体感温度计算器太阳、月亮与上升星座计算器 🌞🌙✨CAGR计算器随机扑克牌生成器cpm计算器VAT计算器比例计算器定期存款计算器百分比折扣计算器厘米到英尺和英寸转换器SRT转为TXT工具FPS 转换器音频分割器毛利率计算器MAC地址生成器对数计算器斜边计算器样本量计算器太阳位置计算器🎮 游戏灵敏度转换器音频提取器HEX计算器血糖转换器随机字符串生成器图片打码工具调整视频速度随机IMEI生成器kg到lbs转换器职位查找器随机选择器t检验计算器srt时间偏移为图片添加文字椭圆周长计算器考拉兹猜想计算器高斯分布生成器百分比变化计算器随机化数字质数检查器卡方检验计算器分数计算器SHA256 哈希生成器快速傅里叶变换FFT计算器Log Base 10 计算器Facebook用户ID查询图片压缩器位数计算器图片分割器💧 露点计算器两点间距离计算器合并视频视频转图片提取器原根计算器YouTube频道统计雷诺数计算器圆形面积计算器圆计算器年度天数计算器 - 今天是今年的第几天农历转换器三角函数绘图器标准偏差计算器 - 高精度IPv4/IPv6到十六进制转换器One Rep Max (1RM) 计算器卧推计算器沸点计算器DOY日历多项式展开计算器泰勒级数计算器磅转千克转换器积分计算器随机超能力生成器kpa到psi转换器伊斯兰历转换器变异系数计算器月亮星座计算器百分比减少计算器误差函数计算器足球 xG预期进球计算器黄金时刻和蓝调时刻计算器MAC 地址分析工具体脂百分比计算器指数计算器-高精度🎲 掉落概率计算器根式化简器随机英文句子生成器互补误差函数计算器因子计算器直方图生成器亚马逊 FBA 计算器利润计算器英寸到厘米转换器半衰期计算器数织生成器-picross视频分割器Cohen's d 计算器MD5哈希生成器伽玛功能计算器🔊 音调发生器百分比增加计算器罗马数字转换器随机颜色生成器年龄计算器文本转二进制/十六进制/ASCII转换器📅 日期计算器真实命中率计算器SRT合并工具YouTube缩略图下载器📈 折线图制作工具百分比增长率计算器3D距离计算器atan2计算器PER计算器先付年金现值计算器圆柱体体积计算器 高精度朱利亚集合生成器阻抗计算器随机虚假地址生成器万花尺图案生成器十六进制到十进制转换器发音音标转换器工资转换计算器平方根计算器科学记数法计算器十进制到十六进制转换器复数计算器按位计算器最小公倍数计算器翻转视频随机装备生成器骰子滚轮Instagram用户ID查询中位数计算器利率计算器逻辑门模拟器随机和弦生成器随机坐标生成器预期寿命计算器骰子概率计算器AI Token 计数器MurmurHash3 生成器Voronoi 图生成器WHOIS查询按字母顺序排序排序数字新月和满月日历条形码生成器百分比计算器真心话大冒险生成器花样字体生成器英尺到米转换器随机英文单词生成器ROI计算器为视频添加水印体型计算器厘米到英寸转换器反向文字数字提取器极坐标方程绘图器比例置信区间计算器比较分数计算器线规计算器随机RPG角色生成器AI标点符号添加器ppm到百分比转换器PSI 转 Bar 转换器图片添加线条景深 (DoF) 计算器曼德博集合探索器🖱️ 点击计数器百分比到ppm转换器跑步配速计算器随机字母生成器Zalgo文本生成器不可见字符移除器填字游戏制作器常规时间到小数时间转换器平均值计算器旋转视频退休倒计时配色方案生成器随机名称生成器anova计算器npv计算器删除线文字生成器总和计算器投球命中率计算器有效命中率计算器死链检查器迷宫生成器随机整数生成器HTML 到文本转换器Webhook测试器六西格玛过程能力计算器质量摩尔浓度计算器pKa到Ka转换器亨德森-哈塞尔巴尔赫计算器理论产量计算器限制反应物计算器电子排布计算器交互式元素周期表AI教案生成器AI测验生成器引用生成器 (APA/MLA/Chicago)出勤率计算器AP分数计算器ACT分数计算器SAT分数计算器百分比转CGPA转换器CGPA转百分比转换器简易评分器 EZ Grader养育孩子成本计算器宝宝奶量计算器尿布尺寸计算器婴儿名字生成器宝宝眼睛颜色预测器儿童BMI百分位计算器儿童身高预测器hcg翻倍时间计算器试管婴儿预产期计算器着床计算器中国生男生女预测器ISO 8601 日期格式化工具儒略日转换器小睡计算器月相计算器日出日落计算器世界时钟日期罗马数字转换器戒瘾天数计算器半岁生日计算器纪念日计算器周数计算器小费分配计算器电子邮件营销ROI计算器每条线索成本计算器营运资本计算器边际贡献计算器FIFO / LIFO 计算器安全库存计算器再订货点计算器经济订货量eoq计算器折旧计算器手工艺品定价计算器批发价格计算器Shopify 利润计算器eBay费用计算器Etsy费用计算器Stripe 手续费计算器PayPal手续费计算器投注赔率转换器十一奉献计算器天课计算器英国印花税计算器HRA免税计算器服务酬金计算器NPS计算器EPF计算器PPF计算器RD计算器SWP计算器税前工资倒推计算器贷款比较计算器信用使用率计算器CD阶梯计算器美国国库券T-Bill计算器I 系列储蓄债券计算器529大学储蓄计算器HSA计算器遣散费计算器加薪计算器发票生成器出差津贴计算器里程报销计算器房租涨幅计算器按比例租金计算器房租承受能力计算器汽车落地价计算器购车预算计算器摩托车贷款计算器房车贷款计算器船舶贷款计算器土地贷款计算器建筑贷款计算器只付利息抵押贷款计算器气球贷计算器房贷点数计算器PMI计算器双周房贷还款计算器ARM浮动利率房贷计算器VA贷款计算器实发工资计算器AI SQL 查询生成器AI正则表达式生成器AI 数据可视化工具 (粘贴 CSV)AI文本语气分析器AI简历分析器AI单位转换器自然语言AI道歉信生成器AI礼貌借口生成器AI旅行行程生成器AI阅读清单生成器AI健身计划生成器AI膳食计划生成器AI礼物点子生成器ai食谱生成器根据现有食材奖学金投资回报率计算器大学费用计算器语言学习流利度小时数计算器词汇测验生成器康奈尔笔记生成器学习曲线计算器抽认卡间隔重复调度器颜料调色计算器瓷砖填缝剂计算器youtube收益估算器