Security
Bcrypt
Bcrypt ist ein adaptiver Passwort-Hashing-Algorithmus, der auf der Blowfish-Verschlüsselung basiert und speziell für das sichere Speichern von Passwörtern entwickelt wurde. Durch den konfigurierbaren Cost-Faktor (Work-Factor) lässt sich der Rechenaufwand gezielt erhöhen, um Brute-Force- und Wörterbuchangriffe zu erschweren. Das Tool ermöglicht das Hashen beliebiger Passwörter sowie die Verifikation von Passwort-Hash-Paaren direkt im Browser.
Was ist bcrypt?
Bcrypt wurde 1999 von Niels Provos und David Mazières entwickelt und ist bis heute eines der empfohlenen Verfahren zur Passwortspeicherung. Es verwendet intern den Blowfish-Algorithmus mit einer modifizierten Key-Schedule-Routine namens 'Eksblowfish'. Ein bcrypt-Hash besteht aus dem Algorithmus-Identifier ($2b$), dem Cost-Faktor, einem 22-stelligen Salt (128 Bit, Base64-kodiert) und dem 31-stelligen Hash-Wert. Der gesamte Hash-String ist 60 Zeichen lang. Da bcrypt langsam by Design ist, eignet es sich deutlich besser zur Passwortspeicherung als schnelle Hashing-Algorithmen wie MD5 oder SHA-256.
Wie funktioniert der Cost-Faktor?
Der Cost-Faktor (auch Work-Factor genannt) ist ein Exponent zur Basis 2 und bestimmt, wie viele Iterationen der Algorithmus durchführt: 2^cost Runden. Bei Cost 10 sind das 1.024 Runden, bei Cost 12 bereits 4.096 Runden. Ein höherer Wert macht das Hashen langsamer und erschwert damit Angriffe erheblich. Der OWASP-Standard empfiehlt aktuell mindestens Cost 10, in sicherheitskritischen Umgebungen Cost 12 oder höher. Das Tool erlaubt die Auswahl von Cost 4 (minimal, nur für Tests) bis Cost 31 (extrem langsam). Ein neues Salt wird bei jedem Hash-Vorgang automatisch zufällig generiert.
Typische Anwendungsfälle
- Sicheres Hashen von Benutzerpasswörtern vor der Speicherung in einer Datenbank
- Verifizieren eines Passworts gegen einen gespeicherten bcrypt-Hash
- Testen verschiedener Cost-Faktoren und deren Auswirkung auf die Berechnungszeit
- Verstehen und Analysieren der bcrypt-Hash-Struktur (Prefix, Cost, Salt, Hash)
Schritt-für-Schritt-Anleitung
- Schritt 1: Passwort in das Eingabefeld eingeben
- Schritt 2: Gewünschten Cost-Faktor wählen (empfohlen: 10–12 für Produktion)
- Schritt 3: 'Hash generieren' klicken und den resultierenden bcrypt-Hash kopieren
- Schritt 4: Zur Verifikation Passwort und gespeicherten Hash eingeben und vergleichen
Beispiel
Eingabe
Passwort: MyS3cur3Pass!, Cost-Faktor: 12
Ausgabe
$2b$12$K8GpYwPg3v1LZ7sQmN5XeOZpJ2rL4tUvWxYaBcDeFgHiJkLmNoPq
Tipps & Hinweise
- Tipp: Wähle in Produktionsumgebungen einen Cost-Faktor von mindestens 10; erhöhe ihn, wenn die Hardware schneller wird (Faustregel: Hash-Berechnung sollte ca. 100–300 ms dauern).
- Tipp: bcrypt schneidet Passwörter intern auf 72 Bytes ab – längere Passwörter werden nicht vollständig verarbeitet. Für sehr lange Passphrasen vorab SHA-256-Hashing erwägen.
- Tipp: Niemals MD5 oder SHA-1 ohne Salt und Iterationen zur Passwortspeicherung verwenden – bcrypt, Argon2 oder scrypt sind die sichereren Alternativen.
Häufige Fragen
Was ist der Unterschied zwischen bcrypt, scrypt und Argon2?
Alle drei sind adaptive Passwort-Hashing-Algorithmen. bcrypt ist speichereffizient, aber anfällig für GPU-Angriffe. scrypt erhöht zusätzlich den Speicherbedarf. Argon2 (Gewinner des Password Hashing Competition 2015) bietet die größte Flexibilität und gilt als modernster Standard. Für neue Systeme wird Argon2id empfohlen; bcrypt bleibt aber eine solide und weit unterstützte Wahl.
Warum enthält jeder bcrypt-Hash ein anderes Ergebnis, obwohl das Passwort gleich ist?
bcrypt generiert bei jedem Hashing-Vorgang automatisch ein neues zufälliges 128-Bit-Salt. Dieses Salt wird im Hash-String gespeichert und bei der Verifikation ausgelesen. Dadurch produzieren identische Passwörter unterschiedliche Hashes, was Rainbow-Table-Angriffe unwirksam macht.
Wird mein Passwort an einen Server gesendet?
Nein. Das Tool führt alle Berechnungen vollständig im Browser durch. Dein Passwort verlässt niemals dein Gerät.
Bcrypt
Sicheres Hashen und Verifizieren von Passwörtern und Strings mit bcrypt (Blowfish-basiert). Wählbarer Cost-Faktor für optimale Sicherheit.
Tool öffnen