Qu'est-ce que Générateur de Hash Bcrypt ?

Crée des hachages de mots de passe sécurisés et salés avec l'algorithme bcrypt. Permet de hacher des mots de passe pour le stockage en base de données ou de vérifier des hachages existants contre du texte brut.

Bcrypt est l'algorithme de hachage de mots de passe derrière d'innombrables systèmes d'authentification en production. Chaque empreinte intègre son propre sel aléatoire, donc deux mots de passe identiques ne produisent jamais le même hash. Le facteur de coût (4 à 18) double le travail à chaque palier, ce qui ralentit la force brute sans gonfler la latence de connexion.

Comment utiliser

1. Saisissez le mot de passe ou la chaîne à hacher et choisissez un facteur de coût (rounds de sel) compris entre 4 et 18.
2. Cliquez sur générer pour créer le hachage bcrypt. Des facteurs de coût plus élevés produisent des hachages plus robustes mais prennent plus de temps à calculer.
3. Copiez le hachage généré pour l'utiliser dans votre application, ou utilisez l'onglet de vérification pour comparer un mot de passe à un hachage existant.

Quand l'utiliser

• Hacher les mots de passe des nouveaux utilisateurs avant de les écrire en base.
• Tester un flux de connexion contre un hash $2b$ existant.
• Choisir le facteur de coût en mesurant le temps de hachage sur le matériel cible.

Résultat

Un développeur back-end doit stocker un mot de passe utilisateur de manière sécurisée. Il saisit 'MonMotDePasse123' avec 12 rounds de sel et obtient une chaîne de hachage $2b$ à stocker dans sa base de données PostgreSQL.

FAQ

Quel facteur de coût utiliser en production ?

Sur du matériel serveur récent, 12 est un plancher courant et 14 devient la norme. Visez un temps de hachage de 200 à 500 ms par connexion. En dessous de 100 ms c'est trop léger ; au-dessus d'une seconde, les appareils lents pénalisent les utilisateurs.

Pourquoi un même mot de passe donne-t-il un hash différent à chaque fois ?

Bcrypt génère un sel de 16 octets à chaque appel et l'inclut directement dans la chaîne de hash. C'est le but : deux personnes utilisant « letmein » obtiennent des hashs complètement différents, donc une base fuitée ne se casse pas avec une seule rainbow table.

Y a-t-il une limite de longueur de mot de passe à surveiller ?

Bcrypt tronque silencieusement les entrées au-delà de 72 octets. Si vous acceptez des phrases plus longues, passez d'abord par SHA-256 puis envoyez le digest à bcrypt. La plupart des applications plafonnent la saisie à 64 ou 72 caractères.

Puis-je vérifier un hash généré par une autre bibliothèque bcrypt ?

Oui. Les préfixes $2a$, $2b$ et $2y$ sont interopérables entre les implémentations PHP, Node, Python, Ruby, Go et Java. Collez un hash issu de l'une d'elles dans l'onglet vérification, il correspondra au mot de passe original.

Faut-il rester sur bcrypt en 2026 ou passer à argon2 ?

Argon2id est la recommandation actuelle, mais bcrypt reste sûr et bénéficie d'un support universel. Si vous maintenez un système qui utilise déjà bcrypt, rien ne presse pour migrer. Pour un projet neuf, partez sur argon2.

Outils similaires