生成哈希: 输入密码 → 选择盐轮数 → 点击生成。输出标准 $2a$ 格式Bcrypt哈希,可直接用于数据库密码存储。
验证密码: 输入密码和已有哈希值 → 点击验证。系统比对后显示密码是否匹配。
Bcrypt是专为密码存储设计的自适应哈希算法,内置盐值和可调节的计算成本。OWASP推荐使用Bcrypt或Argon2存储密码。
本工具使用 bcryptjs 纯JavaScript实现,兼容Node.js/Python/PHP/Java等主流框架生成的Bcrypt哈希。
Bcrypt有三大优势:1) 自动加盐——每次生成都使用随机盐值,防止彩虹表攻击;2) 可调节成本——通过增加轮数抵御硬件算力增长(摩尔定律);3) 故意慢——单次哈希约0.1-0.3秒(10轮),对用户无感知但使暴力破解成本极高。MD5/SHA设计目标是快,GPU每秒可计算数十亿次,极易被暴力破解。
推荐值:开发/测试环境4-6轮,生产环境10-12轮(OWASP推荐最低10轮),高安全场景14-16轮。每增加1轮计算时间翻倍——12轮约0.3秒,14轮约1秒,16轮约4秒。由于bcryptjs是纯JavaScript实现,比原生C实现慢很多,轮数超过14可能导致浏览器短暂卡顿。生产环境建议使用后端的原生bcrypt库。
可以。本工具输出标准$2a$格式的Bcrypt哈希,与以下后端框架完全兼容:Node.js(bcrypt/bcryptjs模块)、Python(bcrypt库)、PHP(password_hash + PASSWORD_BCRYPT)、Java(Spring Security BCryptPasswordEncoder)、Go(golang.org/x/crypto/bcrypt)、Ruby(bcrypt gem)。哈希值可以直接存入数据库,后端验证时无需特殊处理。
绝对安全。本工具使用bcryptjs纯前端库实现,所有计算(包括哈希生成和验证)都在你的浏览器中本地完成。密码永远不会离开你的设备,不会发送到任何服务器。你可以通过以下方式验证:按F12打开Network面板,操作工具后确认没有任何网络请求;或者断开网络后使用工具。
完全免费,无需注册,无需登录。没有使用次数限制。所有功能都可以直接使用。由于是纯前端工具,你可以将页面保存到本地离线使用。