Bcrypt-Generator & -Prüfer
Hashe ein Passwort mit bcrypt bei einem Kostenfaktor deiner Wahl oder prüfe ein Passwort gegen einen bestehenden bcrypt-Hash — alles in deinem Browser.
Der Bcrypt-Generator läuft vollständig in deinem Browser. Die Passwörter, die du hashst, und die Hashes, die du prüfst, werden auf deinem Gerät verarbeitet und niemals zu ArrayKit hochgeladen.
Hash-Generator öffnen
Über Bcrypt-Generator
Der Bcrypt-Generator verwandelt ein Klartext-Passwort in einen gesalzenen bcrypt-Hash und prüft Passwörter gegen Hashes, die du bereits hast. Im Hash-Modus tippst du ein Passwort, wählst einen Kostenfaktor von 4 bis 15 und bekommst einen standardmäßigen $2b$-Hash mit einem eingebackenen einzigartigen zufälligen Salt — bereit, in einer Users-Tabelle oder einer .htpasswd-Datei gespeichert zu werden. Im Verify-Modus fügst du ein Passwort und einen bestehenden bcrypt-Hash ein, um einen sofortigen Treffer oder Nicht-Treffer zu sehen, was praktisch ist, wenn du ein fehlgeschlagenes Login debuggst oder ein geseedetes Fixture bestätigst. Der Kosten-Schieber zeigt, wie viele Iterationen jeder Rateversuch einen Angreifer kostet, sodass du Geschwindigkeit bewusst gegen Brute-Force-Widerstand eintauschst. Gebaut für Backend- und DevOps-Ingenieure, die eine verlässliche bcrypt-Referenz brauchen. Passwörter und Hashes werden auf deinem Gerät verarbeitet und niemals hochgeladen.
Funktionen
- Hashe jedes Passwort zu einer standardmäßigen $2b$-bcrypt-Zeichenfolge mit eingebautem zufälligem Salt
- Kosten-Schieber von 4 bis 15 Runden, sodass du den Arbeitsfaktor gegen die Geschwindigkeit abstimmst
- Live-Anzeige der Iterationszahl (2^cost), die jeder Hash benötigt
- Der Verify-Modus bestätigt, ob ein Passwort zu einem bestehenden bcrypt-Hash passt
- Liest die Variante und die Kosten, die in jedem eingefügten Hash zum Prüfen eingebettet sind
- Lehnt Zeichenfolgen ab, die keine gültigen bcrypt-Hashes sind, statt zu raten
- Jeder Hash salzt neu, sodass dasselbe Passwort nie zweimal dieselbe Ausgabe erzeugt
- Läuft vollständig in deinem Browser, ohne dass ein Passwort an einen Server gesendet wird
So verwendest du Bcrypt-Generator
- Lass den Tab Hash ausgewählt und tippe das Passwort, das du hashen möchtest
- Ziehe den Kosten-Schieber auf deine Zielrunden (10–12 ist eine häufige Wahl)
- Klicke auf Hash erzeugen und kopiere die resultierende $2b$-Zeichenfolge
- Wechsle zu Verify, füge ein Passwort und einen bcrypt-Hash ein und lies das Treffer-Ergebnis
Beispiel
Eingabe
password: correcthorse
cost: 10
Ausgabe
$2b$10$mZ9uJ4c0m6t1qP7yW3sVne2f8oR5aB1cD4eF6gH7iJ8kL9mN0pQr
Ein Passwort, Kosten 10, plus ein zufälliger Salt werden zu einem 60-Zeichen-bcrypt-Hash.
Häufige Fehler & Fehlerbehebung
- Dasselbe Passwort erzeugt jedes Mal einen anderen Hash. — Das ist erwartet — bcrypt erzeugt pro Hash einen frischen zufälligen Salt. Nutze den Verify-Modus, um ein Passwort gegen einen Hash zu vergleichen, statt erneut zu hashen und Zeichenfolgen zu vergleichen.
- Verify sagt kein Treffer, obwohl das Passwort richtig aussieht. — Prüfe auf ein nachgestelltes Leerzeichen oder einen Zeilenumbruch im Passwortfeld und bestätige, dass du den vollen 60-Zeichen-Hash inklusive des $2blt;cost>$-Präfixes eingefügt hast.
- Hohe Kosten lassen die Seite träge reagieren. — Die Kosten sind exponentiell — jeder Schritt verdoppelt die Arbeit. Senke die Runden, um schnell zu testen, und erhöhe sie dann für den Wert, den du tatsächlich speicherst.
- Ein alter Hash beginnt mit $2a$ oder $2y$ statt $2b$. — Das sind frühere bcrypt-Varianten und verifizieren auf dieselbe Weise. Dieses Tool liest die eingebettete Variante und die Kosten, sodass das Einfügen eines $2a$- oder $2y$-Hashes in Verify weiterhin funktioniert.
Häufig gestellte Fragen
- Was steuert der bcrypt-Kostenfaktor?
- Die Kosten (oder Runden) legen fest, wie viele Schlüssel-Expansions-Iterationen bcrypt ausführt — 2 hoch die Kosten. Kosten von 10 bedeuten 1.024 Iterationen; jeder zusätzliche Schritt verdoppelt die Arbeit, was einen Hash langsamer zu berechnen und weit schwerer zu brute-forcen macht.
- Welche Kosten sollte ich im Bcrypt-Generator wählen?
- 10 bis 12 ist der übliche Bereich für Web-Logins im Jahr 2026. Höher ist widerstandsfähiger gegen Cracking, aber langsamer bei jedem Login. Wähle die höchsten Kosten, die dein Server unter echter Last in einem Bruchteil einer Sekunde hashen kann.
- Warum ist jeder bcrypt-Hash desselben Passworts anders?
- bcrypt bettet in jeden Hash einen einzigartigen zufälligen Salt ein, sodass identische Passwörter verschiedene Zeichenfolgen erzeugen. Das schlägt Rainbow-Tables. Um ein Passwort zu prüfen, verifizierst du es gegen den gespeicherten Hash, statt neu zu hashen und Text zu vergleichen.
- Kann dieses Tool einen $2a$- oder $2y$-bcrypt-Hash prüfen?
- Ja. Füge jeden standardmäßigen bcrypt-Hash — $2a$, $2b$ oder $2y$ — in den Verify-Modus mit dem Passwort ein, und es meldet Treffer oder kein Treffer. Das Tool liest die Variante und die Kosten direkt aus dem Hash.
- Werden meine Passwörter oder Hashes irgendwohin gesendet?
- Nein. Der Bcrypt-Generator läuft vollständig in deinem Browser. Die Passwörter, die du tippst, und die Hashes, die du einfügst, werden auf deinem Gerät verarbeitet und niemals zu ArrayKit hochgeladen.
- Ist bcrypt noch eine gute Wahl zum Speichern von Passwörtern?
- bcrypt bleibt ein solider, weit unterstützter Passwort-Hash mit einem abstimmbaren Arbeitsfaktor und einem Salt pro Hash. Für neue Systeme ziehen manche Teams auch Argon2 in Betracht, aber bcrypt ist sicher und gut verstanden, wenn du angemessene Kosten nutzt.
Verwandte Tools
- Hash-Generator — SHA-256 / SHA-1 / SHA-384 / SHA-512 über die Web-Crypto-API.
- htpasswd-Generator — Eine .htpasswd-Zeile mit bcrypt oder SHA-1 aus Benutzer und Passwort erzeugen.
- Passwort-Generator — Erzeuge starke, zufällige Passwörter mit Stärkemesser (kryptografisch sicher).
- HMAC-Generator — Eine Nachricht mit einem geheimen Schlüssel per SHA-256 und mehr signieren.
- JWT-Dekoder — Dekodiere Header und Payload eines JWT und prüfe exp/iat (ohne Verifizierung).
- TOTP-/2FA-Generator — Erzeuge zeitbasierte Einmalpasswörter (2FA-Codes) aus einem Base32-Secret.
Alle ArrayKit-Tools