Trình tạo mã băm mật khẩu Bcrypt

Blog

Trình tạo mã băm mật khẩu Bcrypt

BlogCheatsheets
Loading...
Loading Bcrypt...

Mô tả

Tạo hash Bcrypt an toàn cho mật khẩu với hệ số chi phí điều chỉnh được. Hoàn hảo cho việc lưu trữ mật khẩu an toàn trong ứng dụng.

Giới thiệu về Trình tạo mã băm mật khẩu Bcrypt

Bcrypt Generator băm mật khẩu bằng thuật toán bcrypt trong trình duyệt, với hệ số chi phí điều chỉnh được. Bcrypt cố tình chậm và tự động thêm salt cho mọi hash, khiến các tấn công đoán quy mô lớn trở nên tốn kém — đúng điều bạn muốn để lưu mật khẩu. Tạo một hash để khởi tạo người dùng thử nghiệm, kiểm tra cài đặt ứng dụng của bạn, hoặc tìm hiểu chi phí ảnh hưởng đến thời gian băm thế nào.

Cách sử dụng

  1. Gõ mật khẩu bạn muốn băm vào ô đầu vào.
  2. Chọn hệ số chi phí (work factor) — cao hơn thì chậm hơn và kháng brute force tốt hơn.
  3. Hash bcrypt được tạo, bao gồm cả salt nhúng trong nó.
  4. Sao chép hash; định dạng bcrypt lưu cả chi phí và salt, nên không cần cột salt riêng.

Câu hỏi thường gặp

Nên dùng hệ số chi phí nào?

Chọn giá trị cao nhất mà máy chủ của bạn chịu được về độ trễ đăng nhập — ngày nay thường là 10–12. Mỗi mức tăng nhân đôi khối lượng công việc, nên chi phí 12 chậm gấp đôi 11.

Tại sao cùng một mật khẩu lại tạo ra hash khác nhau mỗi lần?

Bcrypt tạo một salt ngẫu nhiên cho mỗi hash và nhúng nó vào kết quả. Salt khác nhau nghĩa là hash khác nhau cho cùng mật khẩu — đó chính là mục đích. Việc xác minh suy lại salt từ hash đã lưu.

Tôi có cần lưu salt riêng không?

Không. Salt và chi phí là một phần của chính chuỗi hash bcrypt (tiền tố $2b$...), nên chỉ cần lưu một giá trị hash là đủ để xác minh sau này.

Bcrypt còn được khuyến nghị không?

Có, nó vẫn là một lựa chọn vững chắc và được hỗ trợ rộng rãi. Argon2 và scrypt cũng là các lựa chọn hiện đại mạnh; nguyên tắc cốt lõi là dùng một hàm băm mật khẩu chậm, có salt, chuyên dụng — thay vì một hàm băm nhanh thông dụng như SHA-256.