Cryptographie
Calcul BCrypt
Calcule le hachage BCrypt d'un texte dans le navigateur. Le texte n'est pas envoyé au serveur.
| Texte | |
|---|---|
| Tours |
※Le hachage est calculé dans votre navigateur. Ni le texte saisi ni le hachage calculé ne sont envoyés au serveur.
Tips
- BCrypt ajoute automatiquement un sel, de sorte que la même entrée produit un hash différent à chaque fois qu'elle est hachée.
- Augmenter le nombre de tours (facteur de coût) augmente le coût de calcul, améliorant la résistance aux attaques par force brute. Une valeur de 10–12 est généralement recommandée.
- En PHP, utilisez
password_hash($password, PASSWORD_BCRYPT); en Ruby, utilisez le gembcrypt-rubypour générer des hashes équivalents. - Le préfixe
$2y$dans le hash est l'identifiant d'algorithme ; le nombre qui suit est le nombre de tours. - Considérez également le plus récent Argon2 (disponible depuis PHP 7.2) comme un autre algorithme adapté au stockage de mots de passe.
Anecdote — La bataille des mots de passe et des hashes : pourquoi BCrypt est choisi
Lors de la fuite de données LinkedIn en 2012, environ 6,5 millions de mots de passe étaient stockés uniquement avec SHA-1 sans sel, et la plupart ont été crackés en quelques jours par des attaques par table arc-en-ciel. Cet incident a été un grand signal d'alarme pour la conception du stockage des mots de passe.
Un GPU moderne haute performance (comme le NVIDIA RTX 4090) peut calculer MD5 environ 68 milliards de fois par seconde. BCrypt est intentionnellement conçu pour être coûteux en calcul — avec 12 tours, il est limité à quelques milliers de calculs par seconde — lui conférant une résistance bien plus grande aux attaques par force brute. Avec le même matériel, vous pourriez essayer 68 milliards de tentatives MD5 par seconde, mais seulement quelques milliers de BCrypt. Cette différence est cruciale.
BCrypt a été initialement conçu pour OpenBSD en 1999. Plus de 20 ans plus tard, il est encore en usage actif et, aux côtés du plus récent Argon2 (disponible depuis PHP 7.2), est l'un des choix standard pour le stockage des mots de passe.