bcrypt हैश जेनरेटर

मुफ़्त ऑनलाइन bcrypt हैश जेनरेटर टूल। 100% स्थानीय प्रसंस्करण — आपका डेटा कभी आपके डिवाइस से नहीं जाता।

General
Password Hashing / KDF
Specialized
Deprecated
आउटपुट

परिणाम यहां प्रदर्शित होगा...

इनपुट हैश की गणना करें

Usage Guide

bcrypt के बारे में

bcrypt एक पासवर्ड हैशिंग फ़ंक्शन है जिसे Niels Provos और David Mazières ने 1999 में Blowfish सिफर के आधार पर डिज़ाइन किया था। इसे विशेष रूप से धीमा और कम्प्यूटेशनल रूप से महंगा बनाने के लिए बनाया गया था, जिससे ब्रूट-फोर्स अटैक व्यावहारिक नहीं रहते। bcrypt दुनिया के सबसे व्यापक रूप से तैनात पासवर्ड हैशिंग एल्गोरिदम में से एक है, जिसे Rails, Django, Laravel और Node.js (bcryptjs) जैसे फ्रेमवर्क द्वारा नेटिव रूप से समर्थित किया जाता है। प्रत्येक bcrypt हैश में एक यादृच्छिक नमक और कॉस्ट फैक्टर शामिल होता है, इसलिए हैश सत्यापन के लिए पूरी तरह से स्व-निहित है।

युद्ध-परीक्षित मानक: bcrypt 25 से अधिक वर्षों से प्रोडक्शन में उपयोग में है और पासवर्ड स्टोरेज के लिए एक विश्वसनीय विकल्प बना हुआ है। OWASP अनुशंसा करता है न्यूनतम कॉस्ट फैक्टर 10, cost=12 को 2023 बेसलाइन के रूप में। नए प्रोजेक्ट्स के लिए, Argon2id को प्राथमिकता दी जाती है; bcrypt मौजूदा सिस्टम के लिए पूरी तरह से विश्वसनीय रहता है।

उपयोग के चरण

यह टूल दो ऑपरेशन का समर्थन करता है: पासवर्ड हैश करना (एन्क्रिप्ट) और हैश के विरुद्ध पासवर्ड सत्यापित करना (डिक्रिप्ट):

1. हैश मोड (एन्क्रिप्ट)एन्क्रिप्ट मोड चुनें, इनपुट बॉक्स में पासवर्ड दर्ज करें, फिर 'हैश कैलकुलेट करें' पर क्लिक करें
2. हैश प्राप्त करेंआउटपुट $2b$12$... जैसी 60-कैरेक्टर bcrypt स्ट्रिंग है — इसे कॉपी करें और अपने डेटाबेस में स्टोर करें
3. वेरिफाई मोड (डिक्रिप्ट)डिक्रिप्ट मोड चुनें, इनपुट बॉक्स में password|$2b$12$... (पाइप से अलग) दर्ज करें, फिर 'डिक्रिप्ट' पर क्लिक करें
4. परिणाम जांचेंयदि पासवर्ड सही है तो टूल '✓ Password matches' लौटाता है, या यदि मेल नहीं खाता तो त्रुटि संदेश
गोपनीयता सुरक्षा: सभी bcrypt गणनाएं WebAssembly का उपयोग करके पूरी तरह आपके ब्राउज़र में चलती हैं। कोई भी डेटा कभी सर्वर को नहीं भेजा जाता — पूरी तरह ऑफ़लाइन प्रोसेसिंग।

एल्गोरिदम की विशेषताएं

bcrypt में कई गुण हैं जो इसे पासवर्ड स्टोरेज के लिए उपयुक्त बनाते हैं:

जानबूझकर धीमाBlowfish की-शेड्यूल कम्प्यूट करने में महंगा है, जिससे प्रत्येक हैश प्रयास धीमा होता है और ब्रूट-फोर्स अटैक महंगे होते हैं
बिल्ट-इन नमकप्रत्येक हैश में एक अद्वितीय 128-बिट यादृच्छिक नमक शामिल है, जो रेनबो टेबल और समान-पासवर्ड अटैक को रोकता है
समायोज्य कॉस्ट फैक्टरकॉस्ट फैक्टर (4–31) काम को नियंत्रित करता है: प्रत्येक वृद्धि गणना समय को दोगुना कर देती है, आपको हार्डवेयर सुधारों के साथ बने रहने की अनुमति देती है
GPU प्रतिरोधBlowfish की-शेड्यूल के मेमोरी एक्सेस पैटर्न MD5 या SHA-256 जैसे सरल हैश फ़ंक्शन की तुलना में GPU समानांतरता को सीमित करते हैं
स्व-निहित हैश60-कैरेक्टर आउटपुट ($2b$12$[22-char नमक][31-char हैश]) में सत्यापन के लिए सभी पैरामीटर शामिल हैं — कोई अतिरिक्त मेटाडेटा आवश्यक नहीं
Argon2 की तुलना में सीमा: bcrypt गणना के दौरान केवल ~4 KB मेमोरी का उपयोग करता है, जिससे यह Argon2 की तुलना में ASIC और कस्टम-हार्डवेयर अटैक के प्रति काफी कम प्रतिरोधी है, जिसके लिए मेगाबाइट मेमोरी की आवश्यकता होती है। नए प्रोजेक्ट्स के लिए Argon2id को प्राथमिकता दें। bcrypt मौजूदा सिस्टम के लिए उचित है।

कॉस्ट फैक्टर गाइड

सही कॉस्ट फैक्टर चुनना सुरक्षा और सर्वर प्रदर्शन के बीच संतुलन बनाता है:

कॉस्ट 10OWASP न्यूनतम (2023)। आधुनिक सर्वर पर ~100 ms। कम-ट्रैफिक साइट या संसाधन-प्रतिबंधित वातावरण के लिए स्वीकार्य
कॉस्ट 12OWASP 2023 बेसलाइन सिफारिश। ~400 ms। अधिकांश वेब एप्लिकेशन के लिए सुरक्षा और प्रदर्शन का अच्छा संतुलन
कॉस्ट 14~1.5 सेकंड। संवेदनशील एप्लिकेशन (वित्त, स्वास्थ्य सेवा) के लिए उच्च सुरक्षा। UI ब्लॉकिंग से बचने के लिए async हैंडलिंग की आवश्यकता हो सकती है
कॉस्ट 31 (अधिकतम)सैद्धांतिक अधिकतम — गणना में घंटे लगते हैं। प्रोडक्शन में कभी उपयोग न करें; केवल ऑफ़लाइन संग्रह या प्रदर्शन के लिए
ट्यूनिंग टिप: अपने प्रोडक्शन हार्डवेयर पर बेंचमार्क करें और प्रति हैश 200–500 ms लक्ष्य रखें। जैसे-जैसे CPU वर्षों में बेहतर होते हैं, समान वॉल-क्लॉक समय बनाए रखने के लिए कॉस्ट फैक्टर बढ़ाएं। नए हैश अपडेटेड कॉस्ट का उपयोग कर सकते हैं; मौजूदा हैश सत्यापन योग्य रहते हैं क्योंकि कॉस्ट हैश स्ट्रिंग में ही स्टोर है।

FAQ

Q: bcrypt का आउटपुट फॉर्मेट क्या है?

A: bcrypt हैश हमेशा ठीक 60 कैरेक्टर लंबा होता है और इस तरह दिखता है: $2b$12$LQv3c1yqBWVHxkd0LHAkCOYz6TtxMQJqhN8/lewdBdXyXu2zXpOme.
विश्लेषण:
$2b$: bcrypt वर्जन पहचानकर्ता।
12$: कॉस्ट फैक्टर।
अगले 22 कैरेक्टर: Base64-एन्कोडेड 128-बिट यादृच्छिक नमक।
अंतिम 31 कैरेक्टर: Base64-एन्कोडेड 184-बिट व्युत्पन्न हैश।
मुख्य गुण: सभी पैरामीटर स्ट्रिंग में एम्बेड हैं — बाद में पासवर्ड सत्यापित करने के लिए कोई अतिरिक्त स्टोरेज आवश्यक नहीं।

Q: bcrypt की Argon2 से तुलना कैसी है?

A: bcrypt (1999): कम्प्यूटेशन-हार्ड, ~4 KB मेमोरी, मध्यम GPU प्रतिरोध, सार्वभौमिक समर्थन। Argon2 (2015): मेमोरी-हार्ड (कॉन्फ़िगर करने योग्य, डिफ़ॉल्ट 64 MB), बहुत मजबूत ASIC/GPU प्रतिरोध, OWASP और NIST का पसंदीदा। bcrypt कब उपयोग करें: मौजूदा सिस्टम को बनाए रखते समय या जब Argon2 अभी उपलब्ध नहीं है। Argon2 कब उपयोग करें: सभी नए प्रोजेक्ट।

Q: bcrypt का उपयोग फ़ाइलों या बड़े डेटा को हैश करने के लिए क्यों नहीं किया जा सकता?

A: bcrypt में 72-बाइट इनपुट सीमा है। 72वें बाइट से परे कैरेक्टर चुपचाप अनदेखे हो जाते हैं। फ़ाइल अखंडता के लिए, SHA-256 या SHA-512 का उपयोग करें। bcrypt विशेष रूप से केवल छोटे, मानव-दर्ज पासवर्ड के लिए बनाया गया है।

Q: क्या bcrypt सुरक्षित है यदि मेरा डेटाबेस समझौता हो जाता है?

A: हाँ — एक bcrypt हैश एक-तरफ़ा है। cost=12 के साथ, एक एकल CPU कोर लगभग 2–5 हैश प्रति सेकंड का प्रयास कर सकता है, जिससे मजबूत पासवर्ड के विरुद्ध संपूर्ण अटैक व्यावहारिक रूप से अव्यावहारिक हो जाते हैं। हालांकि, bcrypt कमजोर पासवर्ड की सुरक्षा नहीं करता — हमेशा न्यूनतम पासवर्ड मजबूती नीति लागू करें।

Q: प्रोडक्शन में मुझे किस कॉस्ट फैक्टर का उपयोग करना चाहिए?

A: OWASP 2023 सिफारिश: cost=12 बेसलाइन के रूप में। अपने प्रोडक्शन सर्वर पर बेंचमार्क करें और सबसे ऊंचा कॉस्ट फैक्टर चुनें जो हैशिंग को 500 ms से कम रखे। कभी cost=10 से नीचे न जाएं। हर 2–3 साल में समीक्षा करें जैसे-जैसे हार्डवेयर बेहतर होता है।

Q: क्या bcrypt API की या टोकन स्टोरेज के लिए उपयोग किया जा सकता है?

A: हाँ, सावधानियों के साथ। bcrypt API कीज़ और टोकन को हैश करने के लिए उपयुक्त है जो 72 बाइट से कम हैं और कभी-कभी सत्यापित होते हैं। उच्च-आवृत्ति सत्यापन के लिए, इसके बजाय एक तेज़ SHA-256 + नमक दृष्टिकोण का उपयोग करें।

Use Cases

अनुशंसित: उपयोगकर्ता पासवर्ड स्टोरेज

यह bcrypt का प्राथमिक उपयोग मामला है। bcrypt (cost ≥ 12) के साथ हैश करें और 60-कैरेक्टर स्ट्रिंग स्टोर करें। लॉगिन के दौरान, bcrypt सत्यापन चलाएं। bcrypt Rails (has_secure_password), Django, Laravel और Node.js (bcryptjs) में बिल्ट-इन समर्थित है।

Recommended Configuration:
  • ✅ bcrypt (cost ≥ 12, व्यापक रूप से समर्थित — मौजूदा सिस्टम के लिए अनुशंसित)
  • Argon2id (नए प्रोजेक्ट के लिए प्राथमिकता)
  • PBKDF2-SHA256 (≥ 600k iterations, FIPS-अनुपालन वातावरण)
  • ❌ पासवर्ड के लिए SHA-256, MD5 या अन्य सामान्य-उद्देश्य हैश का उपयोग न करें
अनुशंसित: लेगेसी सिस्टम संगतता

लाखों bcrypt हैश स्टोर करने वाले सिस्टम के लिए, bcrypt का उपयोग जारी रखें और हार्डवेयर में सुधार के साथ कॉस्ट फैक्टर बढ़ाएं। नए उपयोगकर्ता पारदर्शी रूप से Argon2id में अपग्रेड कर सकते हैं जबकि bcrypt हैश ($2b$ उपसर्ग से पहचाने जाते हैं) सही ढंग से सत्यापित होते रहते हैं।

Recommended Configuration:
  • ✅ मौजूदा हैश के लिए bcrypt बनाए रखें — कोई जबरदस्ती माइग्रेशन आवश्यक नहीं
  • ✅ नए और अपडेटेड पासवर्ड के लिए Argon2id को धीरे-धीरे पेश करें
  • ✅ सत्यापन रूट करने के लिए हैश-उपसर्ग पहचान ($2b$ vs $argon2id$) का उपयोग करें
  • 💡 माइग्रेशन प्रगति ट्रैक करने के लिए प्रति उपयोगकर्ता उपयोग किए गए एल्गोरिदम को लॉग करें
स्वीकार्य: API की हैशिंग

bcrypt डेटाबेस स्टोरेज से पहले API कीज़ को हैश कर सकता है। बड़े पैमाने पर प्रति-अनुरोध सत्यापन के लिए, एक तेज़ HMAC-SHA256 स्कीम या की का SHA-256 हैश पसंद करें।

Recommended Configuration:
  • ✅ bcrypt (cost=10–12, कम-आवृत्ति सत्यापन के लिए अच्छा)
  • SHA-256 + नमक (तेज़, उच्च-एंट्रॉपी कीज़ के लिए उपयुक्त)
  • ✅ HMAC-SHA256 (प्रति-अनुरोध टोकन साइनिंग के लिए)
  • 💡 तेज़ लुकअप के लिए डेटाबेस इंडेक्स के रूप में हैश उपसर्ग (पहले 8 char) का उपयोग करें
अनुशंसित नहीं: फ़ाइल या डेटा एन्क्रिप्शन

bcrypt एक एक-तरफ़ा हैश फ़ंक्शन है, एन्क्रिप्शन एल्गोरिदम नहीं। यह फ़ाइलें एन्क्रिप्ट नहीं कर सकता। इसके अलावा, bcrypt की 72-बाइट इनपुट सीमा इसे फ़ाइल सामग्री हैश करने के लिए अनुपयुक्त बनाती है। फ़ाइल एन्क्रिप्शन के लिए, एक सममित सिफर का उपयोग करें (जैसे, AES-256-GCM)।

Recommended Configuration:
  • ❌ फ़ाइल एन्क्रिप्शन के लिए bcrypt का उपयोग न करें (यह उलटा नहीं किया जा सकता)
  • ❌ bcrypt के साथ 72 बाइट से अधिक डेटा हैश न करें
  • ✅ सममित फ़ाइल एन्क्रिप्शन के लिए AES-256-GCM का उपयोग करें
  • ✅ पासवर्ड-आधारित की डेरिवेशन के लिए Argon2id या scrypt का उपयोग करें
अनुशंसित नहीं: सामान्य डेटा हैशिंग

bcrypt सामान्य-उद्देश्य डेटा अखंडता जांच के लिए बहुत धीमा है। अखंडता सत्यापन के लिए SHA-256 या SHA-512 का उपयोग करें।

Recommended Configuration:
  • ❌ डेटा अखंडता जांच या कंटेंट हैशिंग के लिए bcrypt का उपयोग न करें
  • SHA-256 (सामान्य-उद्देश्य अखंडता हैशिंग)
  • ✅ BLAKE2b (उच्च-गति क्रिप्टोग्राफिक हैशिंग)
  • ✅ SHA-3 / SHA-512 (उच्च सुरक्षा मार्जिन)
अनुशंसित नहीं: उच्च-आवृत्ति प्रमाणीकरण

bcrypt धीमा (~200–500 ms at cost=12) होने के लिए डिज़ाइन किया गया है। हर API अनुरोध पर इसे चलाने से आपका सर्वर चरमरा जाएगा। लॉगिन पर केवल एक बार bcrypt का उपयोग करें — फिर बाद के अनुरोधों के लिए एक हस्ताक्षरित JWT जारी करें।

Recommended Configuration:
  • ❌ हर API अनुरोध पर bcrypt न चलाएं
  • ✅ JWT + HMAC-SHA256 (स्टेटलेस, तेज़ प्रति-अनुरोध auth)
  • ✅ Session + Cookie (पारंपरिक सर्वर-साइड सेशन प्रबंधन)
  • ✅ OAuth 2.0 / OpenID Connect (फेडरेटेड पहचान, टोकन-आधारित)

सर्वोत्तम अभ्यास सारांश

  • मौजूदा सिस्टम में उपयोगकर्ता पासवर्ड स्टोरेज के लिए bcrypt (cost ≥ 12) का उपयोग करें। नए प्रोजेक्ट के लिए Argon2id को प्राथमिकता दें।
  • सामान्य डेटा हैशिंग, फ़ाइल एन्क्रिप्शन या 72 बाइट से बड़े डेटा के लिए कभी bcrypt का उपयोग न करें।
  • प्रोडक्शन हार्डवेयर पर बेंचमार्क करें और प्रति हैश 200–500 ms लक्ष्य रखें। हर 2–3 साल में कॉस्ट फैक्टर बढ़ाएं।
  • उच्च-आवृत्ति auth परिदृश्यों के लिए, केवल लॉगिन पर bcrypt का उपयोग करें, फिर JWT या सेशन टोकन जारी करें।
  • bcrypt से Argon2id में क्रमिक माइग्रेशन: मौजूदा हैश के लिए bcrypt बनाए रखें, नए पासवर्ड के लिए Argon2id का उपयोग करें।

चर्चा और प्रतिक्रिया

0 टिप्पणियां
मैं