Générateur et Vérificateur Bcrypt
Générez des hachages bcrypt de mots de passe et vérifiez un mot de passe par rapport à un hachage existant, entièrement dans votre navigateur.
Chargement de Générateur et Vérificateur Bcrypt… Si rien ne se passe, activez JavaScript.
Bcrypt est une fonction de hachage de mots de passe conçue en 1999 par Niels Provos et David Mazieres, construite spécifiquement pour rendre les mots de passe stockés résistants au cassage par force brute. Contrairement aux condensés rapides à usage général comme MD5 ou SHA-256, bcrypt est délibérément lent et inclut un facteur de coût réglable qui fixe la quantité de travail de calcul requise par chaque hachage. Chaque hachage bcrypt intègre aussi un sel aléatoire unique, de sorte que deux utilisateurs ayant le même mot de passe produisent des hachages complètement différents, et une seule chaîne de sortie porte tout ce qu'il faut pour vérifier un mot de passe plus tard : la version de l'algorithme, le coût, le sel et le condensé. Ce format autonome explique pourquoi les hachages bcrypt peuvent être stockés directement dans une colonne de base de données.
Questions fréquentes
Les mots de passe et les hachages que je saisis sont-ils envoyés quelque part ?
Qu'est-ce que le facteur de coût et quelle valeur dois-je utiliser ?
Pourquoi bcrypt inclut-il automatiquement un sel ?
Puis-je inverser un hachage bcrypt pour retrouver le mot de passe ?
Comment le mode Vérifier sait-il si un mot de passe correspond ?
En quoi bcrypt diffère-t-il de SHA-256 dans le Générateur de Hachage ?
Que signifient les préfixes $2a$ et $2b$ ?
Bcrypt a-t-il une limite de longueur de mot de passe ?
À propos de Générateur et Vérificateur Bcrypt
Cet outil possède deux modes. En mode Hachage, vous saisissez un mot de passe et choisissez un facteur de coût de 8, 10 ou 12 tours, et il produit une chaîne de hachage bcrypt complète commençant par un marqueur tel que $2a$ ou $2b$. Un coût plus élevé double environ le travail à chaque incrément, donc 12 est nettement plus lent que 10, qui est la valeur par défaut courante. En mode Vérifier, vous collez un hachage bcrypt existant et un mot de passe candidat, et l'outil indique s'ils correspondent. La vérification fonctionne en réexécutant bcrypt avec le sel et le coût extraits du hachage stocké, puis en comparant le résultat, ce qui est exactement la façon dont un système de connexion vérifie un mot de passe sans jamais le stocker en clair.
Tout s'exécute localement dans votre navigateur à l'aide d'une implémentation de bcrypt en JavaScript. Les mots de passe et les hachages que vous saisissez ne sont jamais téléversés, transmis ni journalisés, ce qui rend l'outil sûr pour expérimenter avec de vraies identifiants pendant l'apprentissage, le test d'un backend ou l'initialisation d'une base de données de développement. Gardez à l'esprit que bcrypt est une fonction à sens unique : il n'y a pas de mode de décodage, car un hachage correct ne peut être ramené au mot de passe d'origine. Elle est aussi distincte des hachages rapides de l'outil Générateur de Hachage. Utilisez bcrypt (ou une alternative moderne comme Argon2) pour stocker des mots de passe, et réservez les condensés de type SHA aux sommes de contrôle, aux vérifications d'intégrité et aux empreintes qui ne concernent pas les mots de passe.
Pourquoi la lenteur est une fonctionnalité, pas un défaut
La plupart des logiciels sont conçus pour être aussi rapides que possible, mais bcrypt a été délibérément conçu pour être lent, et ce choix est tout l'intérêt. Lorsque Niels Provos et David Mazieres ont présenté bcrypt à USENIX en 1999, ils l'ont bâti sur l'étape coûteuse de configuration de clé du chiffrement Blowfish et y ont ajouté un facteur de coût ajustable. Le génie de la conception est que le coût n'est pas figé dans l'algorithme ; à mesure que les ordinateurs deviennent plus rapides, les défenseurs peuvent simplement augmenter le coût pour que le cassage de mots de passe reste aussi pénible qu'il l'était des années plus tôt.
Cela compte parce que la menace est asymétrique. Un serveur légitime hache un mot de passe par connexion, donc un hachage prenant un cinquième de seconde est à peine perceptible. Un attaquant qui vole une base de données de mots de passe veut en revanche essayer des milliards de tentatives, et ce même cinquième de seconde par essai transforme un après-midi de cassage en des siècles. Les hachages rapides comme MD5 et SHA-1 sans sel s'effondrent face aux GPU modernes et au matériel spécialisé qui testent des dizaines de milliards de candidats par seconde ; la lenteur réglable de bcrypt et son sel par mot de passe émoussent à la fois la force brute et les tables arc-en-ciel.
Comme le facteur de coût réside dans chaque hachage, un système peut renforcer sa sécurité de façon transparente au fil du temps. Lorsqu'un utilisateur se connecte, le serveur peut vérifier le coût intégré dans son hachage stocké, et s'il est inférieur à la cible actuelle, rehacher le mot de passe fraîchement vérifié à un coût plus élevé et enregistrer la nouvelle valeur. Bcrypt a remarquablement bien vieilli depuis 1999, et bien que des fonctions plus récentes comme scrypt et Argon2 ajoutent une dureté mémoire pour mieux résister encore au matériel spécialisé, bcrypt demeure une valeur par défaut solide et largement prise en charge pour le stockage des mots de passe.