Kryptografie
BCrypt-Berechnung
Berechnet den BCrypt-Hash eines Textes im Browser. Der Text wird nicht an den Server gesendet.
| Text | |
|---|---|
| Runden |
※Der Hash wird in Ihrem Browser berechnet. Weder der eingegebene Text noch der berechnete Hash werden an den Server gesendet.
Tips
- BCrypt fügt automatisch ein Salt hinzu, sodass dieselbe Eingabe bei jedem Hash-Vorgang einen anderen Wert erzeugt.
- Das Erhöhen der Rundenzahl (Kostenfaktor) steigert den Rechenaufwand und verbessert die Resistenz gegen Brute-Force-Angriffe. Ein Wert von 10–12 wird allgemein empfohlen.
- In PHP verwenden Sie
password_hash($password, PASSWORD_BCRYPT); in Ruby das Gembcrypt-ruby, um äquivalente Hashes zu erzeugen. - Das führende
$2y$im Hash-Wert ist der Algorithmus-Bezeichner; die darauf folgende Zahl ist die Rundenzahl. - Erwägen Sie auch das neuere Argon2 (verfügbar ab PHP 7.2) als weiteren geeigneten Algorithmus zur Passwortspeicherung.
Übrigens – Der Kampf zwischen Passwörtern und Hashes: Warum BCrypt gewählt wird
Beim LinkedIn-Datenleck 2012 wurden etwa 6,5 Millionen Passwörter nur mit SHA-1 ohne Salt gespeichert, und die meisten wurden innerhalb von Tagen durch Rainbow-Table-Angriffe geknackt. Dieser Vorfall war ein großer Weckruf für das Design der Passwortspeicherung.
Eine moderne Hochleistungs-GPU (z. B. NVIDIA RTX 4090) kann MD5 etwa 68 Milliarden Mal pro Sekunde berechnen. BCrypt ist absichtlich so konzipiert, dass es rechenintensiv ist — bei 12 Runden ist es auf wenige tausend Berechnungen pro Sekunde begrenzt — was ihm eine deutlich höhere Resistenz gegen Brute-Force-Angriffe verleiht. Mit derselben Hardware könnten Sie 68 Milliarden MD5-Versuche pro Sekunde unternehmen, aber nur wenige tausend BCrypt-Versuche. Dieser Unterschied ist entscheidend.
BCrypt wurde ursprünglich 1999 für OpenBSD entwickelt. Mehr als 20 Jahre später ist es noch immer im aktiven Einsatz und ist zusammen mit dem neueren Argon2 (verfügbar ab PHP 7.2) eine der Standardoptionen für die Passwortspeicherung.