Bcrypt Generator

Bcrypt ist eine Passwort-Hash-Funktion, die 1999 von Niels Provos und David Mazières entwickelt wurde. Im Gegensatz zu MD5 oder SHA ist bcrypt absichtlich langsam und rechenintensiv, was Brute-Force-Angriffe unpraktikabel macht. Außerdem wird automatisch ein Salt hinzugefügt, was Rainbow-Table-Angriffe verhindert. OWASP empfiehlt bcrypt als eine der besten Optionen zur Passwortspeicherung.

Der Kostenfaktor (Salt Rounds) bestimmt, wie oft bcrypt seine Key-Ableitung iteriert – konkret 2^N Iterationen. Ein Kostenfaktor von 12 bedeutet 4.096 Runden. Jede Erhöhung um 1 verdoppelt die Rechenzeit. Der empfohlene Standardwert ist 12; höhere Werte (13–14) eignen sich für Hochsicherheitsanwendungen, bei denen längere Antwortzeiten akzeptabel sind.

Nein. Bcrypt ist eine Einwegfunktion — sie kann nicht umgekehrt oder entschlüsselt werden. Um zu prüfen, ob ein Passwort zu einem Hash passt, muss denselben bcrypt-Algorithmus auf die Eingabe anwenden und das Ergebnis vergleichen. Genau das macht der "Hash prüfen"-Tab dieses Tools.

Das ist gewollt. MD5 und SHA wurden für Schnelligkeit entwickelt — was sie für Passwörter ungeeignet macht (Milliarden Hashes pro Sekunde auf modernen GPUs). Die gezielte Langsamkeit von bcrypt bedeutet, dass ein Angreifer, der deine Datenbank stiehlt, Jahre bräuchte, um selbst einfache Passwörter per Brute-Force zu knacken. Bei einem Kostenfaktor von 12 dauert jeder Versuch ca. 400 ms auf moderner Hardware.

Ja. Dieses Tool verwendet bcryptjs, eine reine JavaScript-Implementierung, die vollständig im Browser läuft. Es werden keine Daten an unsere Server gesendet. Für Produktionssysteme empfehlen wir trotzdem, bcrypt über dein serverseitiges Framework (Node.js, PHP, Python usw.) zu verwenden statt clientseitig.