Was ist Bcrypt-Hash-Generator?

Erstellt sichere, gesalzene Passwort-Hashes mit dem Bcrypt-Algorithmus. Passwörter für die Datenbankspeicherung hashen oder vorhandene Hashes gegen Klartext prüfen.

Bcrypt ist der Passwort-Hash-Algorithmus hinter unzähligen produktiven Authentifizierungssystemen. Jeder Hash trägt seinen eigenen Zufalls-Salt, daher liefern identische Passwörter nie identische Hashes. Der Kostenfaktor von 4 bis 18 verdoppelt die Arbeit pro Stufe, was Brute-Force fast vollständig ausbremst, ohne die Login-Latenz aus dem Ruder laufen zu lassen.

Anleitung

1. Geben Sie das Passwort oder den String ein, den Sie hashen möchten, und wählen Sie einen Kostenfaktor (Salt-Runden) zwischen 4 und 18.
2. Klicken Sie auf Generieren, um den Bcrypt-Hash zu erstellen. Hoehere Kostenfaktoren erzeugen staerkere Hashes, benoetigen aber mehr Rechenzeit.
3. Kopieren Sie den generierten Hash für Ihre Anwendung oder nutzen Sie den Verifizierungs-Tab, um ein Passwort gegen einen bestehenden Hash zu prüfen.

Wann verwenden

• Passwörter neuer Nutzer hashen, bevor sie in die Datenbank wandern.
• Login-Flows gegen einen bestehenden $2b$-Hash testen oder nachstellen.
• Den Kostenfaktor anhand der Hash-Zeit auf der Zielhardware wählen.

Ergebnis

Ein Backend-Entwickler muss ein Benutzerpasswort sicher speichern. Er gibt MySecurePass123 mit 12 Salt-Runden ein und erhaelt einen $2b$-Hash-String zur Speicherung in seiner PostgreSQL-Datenbank.

Häufige Fragen

Welchen Kostenfaktor sollte ich in Produktion wählen?

Auf aktueller Serverhardware ist 12 ein üblicher Mindestwert, 14 wird Standard. Peilen Sie 200 bis 500 ms Hashzeit pro Login an. Unter 100 ms ist zu billig, über einer Sekunde nervt es Nutzer auf langsamen Geräten.

Warum bekomme ich für dasselbe Passwort jedes Mal einen anderen Hash?

Bcrypt erzeugt bei jedem Aufruf einen frischen 16-Byte-Salt und legt ihn direkt im Hash-String ab. Genau das ist der Zweck: Zwei Nutzer mit dem Passwort „letmein" landen mit völlig verschiedenen Hashes in der Datenbank, sodass ein Leak nicht mit einer einzigen Rainbow-Table fällt.

Gibt es eine Passwortlänge, die ich beachten muss?

Bcrypt kappt Eingaben ab 72 Byte stillschweigend. Wenn Sie längere Passphrasen erlauben, jagen Sie die Eingabe vorher durch SHA-256 und übergeben dann den Digest an bcrypt. Die meisten Anwendungen begrenzen die Eingabe auf 64 bis 72 Zeichen.

Kann ich Hashes prüfen, die eine andere bcrypt-Bibliothek erzeugt hat?

Ja. Die Präfixe $2a$, $2b$ und $2y$ sind zwischen Implementierungen in PHP, Node, Python, Ruby, Go und Java austauschbar. Fügen Sie einen Hash aus einer beliebigen Quelle in den Verify-Tab ein und der Vergleich gegen das Originalpasswort funktioniert.

Bei bcrypt bleiben oder 2026 auf argon2 umsteigen?

Argon2id gilt aktuell als Empfehlung, bcrypt ist aber weiterhin sicher und überall verfügbar. Wer ein bestehendes System mit bcrypt pflegt, muss nicht hektisch migrieren. Bei neuen Projekten direkt zu argon2 greifen.

Ähnliche Tools