使用强盐值(Salt)哈希算法保护密码,支持哈希生成与比对校验。免费在线工具,无需登录、无需注册。
本地运行个人数据安全
Loading Tool Engine
使用说明与技术 FAQ
分步操作与原理说明使用说明
- 输入待哈希的口令或测试字符串;生产口令不要在多人可见屏幕上演示。
- 选择 cost(工作因子);值越大越慢、抗暴力越强,但登录体验需平衡(常见 10–12 起步)。
- 生成 Hash 整串保存到用户表;校验时使用同一库的 `verify`,传入明文与存库 Hash。
- 同一明文每次 bcrypt 结果不同是正常的(盐随机);比较时勿用字符串相等判断明文。
- 与对端联调确认版本标识符(`$2a$`/`$2b$` 等)是否被中间层改写或拒绝。
- 限制输入长度:bcrypt 仅处理前 72 字节,超长口令需先经 SHA256 等预处理(需双方约定)。
- 迁移算法时(bcrypt→Argon2)通常在登录成功时重哈希并更新存储。
- 批量导入历史 Hash 时不要重新随机盐;保持原串才能通过校验。
- 性能测试时在测试环境调低 cost,生产再按安全基线上调。
- 用毕清空输入,避免剪贴板残留真实用户口令。
- 先阅读页面标题与简介,确认当前工具覆盖的场景与你的任务一致(避免用错工具导致理解偏差)。
- 在输入区粘贴或键入数据;若页面提供「示例 / 模板」,可先载入再替换为自己的内容以熟悉输出格式。
相关技术知识
- bcrypt 内置盐与 cost,输出自描述字符串,校验时从中恢复参数。
- 基于 Blowfish 变体,设计目标为慢哈希以对抗离线暴力破解。
- 与 scrypt/Argon2 相比 bcrypt 内存硬特性较弱,但仍广泛用于存量系统。
- 72 字节截断是算法特性;用哈希预处理可绕过长度限制但改变威胁模型需评审。
- 并行攻击 GPU/ASIC 仍可能加速尝试;应配合 MFA 与登录限流。
- 浏览器端 bcrypt 多为演示或客户端预哈希场景;服务端仍应作为最终权威校验点。
- timing-safe 比较应由库内置完成;不要手写 `===` 比较 bcrypt 输出与猜测值(比较的是 verify API)。
- cost 随硬件迭代需定期评估上调;旧 Hash 可在登录时透明升级。
- 不要把 bcrypt 输出再当「密钥」去派生其他用途,职责单一。
- 本工具计算在本地,采用安全处理架构保障 Hash 数据安全。
- 本类工具的核心解析与计算在浏览器端执行,默认不把原始业务载荷持久化到本站服务器(具体以页面隐私说明为准)。
- 处理管线通常为:读取输入 → 词法/语法或结构化解析 → 规则变换 → 格式化输出;任一步失败都会尽量给出可定位错误信息。