bcrypt ジェネレーターと検証ツール
選んだコストでパスワードを bcrypt でハッシュ化したり、既存の bcrypt ハッシュに対してパスワードを検証したりできます。すべてブラウザ内で動作します。
bcrypt ジェネレーターは完全にブラウザ内で動作します。ハッシュ化するパスワードと検証するハッシュは端末上で処理され、ArrayKit にアップロードされることはありません。
ハッシュジェネレーターを開く
bcrypt ジェネレーターと検証 について
bcrypt ジェネレーターは、平文のパスワードをソルト付きの bcrypt ハッシュに変え、すでに持っているハッシュに対してパスワードを照合します。Hash モードでは、パスワードを入力し、4 から 15 までのコストファクターを選ぶと、固有のランダムなソルトが焼き込まれた標準の $2b$ ハッシュが得られます — users テーブルや .htpasswd ファイルに保存する準備が整った状態です。Verify モードでは、パスワードと既存の bcrypt ハッシュを貼り付けると即座に一致/不一致が表示され、ログイン失敗のデバッグやシードしたフィクスチャの確認に便利です。コストスライダーは、各推測が攻撃者にどれだけのイテレーションを課すかを示すので、速度とブルートフォース耐性を意図的にトレードオフできます。信頼できる bcrypt のリファレンスが必要なバックエンドや DevOps のエンジニアのために作られています。パスワードとハッシュは端末上で処理され、アップロードされることはありません。
機能
- 任意のパスワードを、組み込みのランダムなソルト付きの標準 $2b$ bcrypt 文字列にハッシュ化
- 4 から 15 ラウンドのコストスライダーで、作業係数を速度に対して調整
- 各ハッシュが必要とするイテレーション数(2^cost)のライブ表示
- Verify モードで、パスワードが既存の bcrypt ハッシュと一致するか確認
- 貼り付けた任意のハッシュに埋め込まれた variant とコストを読み取る
- 有効な bcrypt ハッシュでない文字列を、推測せず拒否
- 毎回ソルトし直すので、同じパスワードでも二度と同じ出力を生まない
- すべてブラウザ内で動作し、パスワードはサーバーに送られない
bcrypt ジェネレーターと検証 の使い方
- Hash タブを選択したまま、ハッシュ化したいパスワードを入力する
- コストスライダーを目標のラウンド数(10〜12 が一般的な選択)までドラッグする
- Generate hash をクリックし、できた $2b$ 文字列をコピーする
- Verify に切り替え、パスワードと bcrypt ハッシュを貼り付けて一致結果を読む
例
入力
password: correcthorse
cost: 10
出力
$2b$10$mZ9uJ4c0m6t1qP7yW3sVne2f8oR5aB1cD4eF6gH7iJ8kL9mN0pQr
1 つのパスワード、コスト 10、そしてランダムなソルトが 60 文字の bcrypt ハッシュになります。
よくあるエラーとトラブルシューティング
- 同じパスワードが毎回異なるハッシュを生む。 — それは想定どおりです — bcrypt はハッシュごとに新しいランダムなソルトを生成します。再ハッシュして文字列を比較するのではなく、Verify モードでパスワードをハッシュに対して比較してください。
- パスワードが正しく見えるのに Verify が不一致と言う。 — パスワードフィールドの末尾のスペースや改行を確認し、$2blt;cost>$ プレフィックスを含む完全な 60 文字のハッシュを貼り付けたか確認してください。
- 高いコストで、ページの反応が遅く感じる。 — コストは指数的です — 各ステップで作業が倍になります。素早くテストするにはラウンドを下げ、実際に保存する値ではラウンドを上げてください。
- 古いハッシュが $2b$ ではなく $2a$ や $2y$ で始まる。 — それらは以前の bcrypt の variant で、同じように検証されます。このツールは埋め込まれた variant とコストを読み取るので、$2a$ や $2y$ のハッシュを Verify に貼り付けても機能します。
よくある質問
- bcrypt のコストファクターは何を制御しますか?
- コスト(またはラウンド)は、bcrypt が実行するキー拡張のイテレーション数 — コストの 2 のべき乗 — を設定します。コスト 10 は 1,024 イテレーションを意味し、各追加ステップで作業が倍になり、ハッシュの計算が遅くなり、ブルートフォースがはるかに難しくなります。
- bcrypt ジェネレーターではどのコストを選ぶべきですか?
- 2026 年の Web ログインでは 10 から 12 が一般的な範囲です。高いほどクラッキング耐性が上がりますが、ログインごとに遅くなります。実際の負荷の下でサーバーがコンマ数秒でハッシュ化できる最も高いコストを選んでください。
- なぜ同じパスワードの bcrypt ハッシュは毎回異なるのですか?
- bcrypt は各ハッシュに固有のランダムなソルトを埋め込むので、同じパスワードでも異なる文字列を生みます。これがレインボーテーブルを無力化します。パスワードを確認するには、テキストを再ハッシュして比較するのではなく、保存済みハッシュに対して検証します。
- このツールは $2a$ や $2y$ の bcrypt ハッシュを検証できますか?
- はい。任意の標準的な bcrypt ハッシュ — $2a$、$2b$、$2y$ — をパスワードとともに Verify モードに貼り付けると、一致か不一致かを報告します。ツールは variant とコストをハッシュから直接読み取ります。
- 私のパスワードやハッシュはどこかに送られますか?
- いいえ。bcrypt ジェネレーターは完全にブラウザ内で動作します。入力したパスワードと貼り付けたハッシュは端末上で処理され、ArrayKit にアップロードされることはありません。
- bcrypt はパスワードの保存に今でも良い選択ですか?
- bcrypt は、調整可能な作業係数とハッシュごとのソルトを備えた、堅実で広くサポートされたパスワードハッシュのままです。新しいシステムでは Argon2 も検討するチームがありますが、適切なコストを使えば bcrypt は安全でよく理解されています。
関連ツール
すべての ArrayKit ツール