在线 Bcrypt 哈希生成器,生成安全的密码哈希值,支持自定义 Salt Rounds
使用场景
做 Web 后端的同学对 Bcrypt 肯定不陌生。用户密码绝对不能明文存数据库,这是安全的底线。Bcrypt 是目前最流行的密码哈希算法之一,比单纯的 SHA 系列安全得多,因为它是专门为密码设计的——引入了 Salt(盐值)和 Cost Factor(计算轮数),让暴力破解变得极其困难。注册用户时把密码用 Bcrypt 哈希再存库,登录时拿用户输入的密码和库里存的海西比对,这是标准做法。
安全工程师做渗透测试或安全审计时也会用。比如你需要评估公司系统的密码存储方案,可能需要生成一批测试用的 Bcrypt 哈希来验证功能是否正常。或者你在写安全相关的文档和教程,需要用实际的 Bcrypt 哈希举例子,直接在线生成一个比本地搭环境快多了。
全栈开发者在写登录功能原型的时候也常用。你不想一开始就引入后端的加密库,或者只是做一个 MVP 测试——用这个工具快速生成一个密码的 Bcrypt 哈希,硬编码到数据库初始化脚本里,等后面再换正式逻辑。省去了配置环境的麻烦。
常见问题
问:Bcrypt 和 SHA-256 有什么区别?为什么密码要用 Bcrypt? 答:SHA-256 是通用哈希算法,计算速度非常快,攻击者可以用 GPU 每秒算几亿次去撞库。Bcrypt 设计上就很慢,而且可以通过增加 Salt Rounds(计算轮数)来让它更慢,同时带自动 Salt 机制,两个相同密码的哈希结果完全不同。所以密码存储用 Bcrypt 远比 SHA 系列安全。
问:Salt Rounds 设置多少比较合适? 答:通常建议 10-12 之间。Salt Rounds 每增加 1,计算时间翻倍。设为 10 在现代硬件上大约需要 80-100 毫秒,对用户体验没有明显影响,但攻击者想暴力破解就要多花上千倍的时间。不建议超过 14,否则注册和登录时用户等待时间过长。
问:忘记了原始密码,能通过 Bcrypt 哈希反解出来吗? 答:不能。Bcrypt 是一种单向哈希算法,设计上就不可逆。如果忘记密码,只能通过"重置密码"功能设置新密码。这也是为什么网站即使数据库泄露,攻击者也很难还原出用户密码的原因。