¿Qué es Generador de Hash Bcrypt?

Crea hashes de contraseñas seguros y con sal usando el algoritmo bcrypt. Permite hashear contraseñas para almacenarlas en bases de datos o verificar hashes existentes contra texto plano.

Bcrypt es el algoritmo de hash de contraseñas detrás de muchísimos sistemas de autenticación en producción. Cada hash incorpora su propia sal aleatoria, así que dos contraseñas iguales nunca generan el mismo hash. El factor de coste (4 a 18) duplica el trabajo en cada paso, lo que ralentiza los ataques de fuerza bruta sin disparar la latencia de login.

Cómo usar

1. Introduce la contraseña o cadena que deseas hashear y selecciona un factor de costo (rondas de sal) entre 4 y 18.
2. Haz clic en generar para crear el hash bcrypt. Los factores de costo más altos producen hashes más seguros, pero tardan más en calcularse.
3. Copia el hash generado para usarlo en tu aplicación, o usa la pestaña de verificación para comprobar una contraseña contra un hash existente.

Cuándo usar

• Hashear contraseñas de usuarios nuevos antes de escribirlas en la base de datos.
• Reproducir o probar un flujo de login contra un hash $2b$ existente.
• Elegir el factor de coste midiendo el tiempo de hash en el hardware real.

Resultado

Un desarrollador backend necesita almacenar una contraseña de usuario de forma segura. Introduce 'MySecurePass123' con 12 rondas de sal y obtiene una cadena de hash $2b$ para guardar en su base de datos PostgreSQL.

Preguntas frecuentes

¿Qué factor de coste debería usar en producción?

En servidores modernos, 12 es un mínimo razonable y 14 se está volviendo estándar. Apunta a un tiempo de hash de 200 a 500 ms por login. Menos de 100 ms es demasiado barato; más de un segundo molesta a usuarios con dispositivos lentos.

¿Por qué la misma contraseña da un hash diferente cada vez?

Bcrypt genera una sal nueva de 16 bytes en cada llamada y la incrusta dentro del propio hash. Esa es la idea: dos personas con la contraseña «letmein» acaban con hashes totalmente distintos, así una base de datos filtrada no se rompe con una sola rainbow table.

¿Hay un límite de longitud que deba tener en cuenta?

Bcrypt trunca silenciosamente cualquier entrada que supere los 72 bytes. Si aceptas frases más largas, pasa antes la entrada por SHA-256 y dale el digest a bcrypt. La mayoría de aplicaciones limita la entrada a 64 o 72 caracteres y listo.

¿Puedo verificar un hash generado por otra librería bcrypt?

Sí. Los prefijos $2a$, $2b$ y $2y$ son interoperables entre las implementaciones de PHP, Node, Python, Ruby, Go y Java. Pega un hash de cualquiera de ellas en la pestaña de verificación y debería coincidir con la contraseña original.

¿Debería seguir usando bcrypt en 2026 o cambiar a argon2?

Argon2id es la recomendación moderna, pero bcrypt sigue considerándose seguro y tiene soporte en todas partes. Si mantienes un sistema que ya usa bcrypt, no hay urgencia para migrar. Para proyectos nuevos, elige argon2.

Herramientas relacionadas