bcrypt Oluşturucu

bcrypt, parolaları saklamak için hâlâ en güvenli seçeneklerden biridir. Bilerek yavaştır, kendi salt değerini türetir ve ayarlanabilir cost parametresiyle donanım gelişmelerine karşı ölçeklenir. Bu oluşturucu, bir test kullanıcısı seed etmek, bir hesabı sistemler arasında taşımak veya users.password sütununda saklanan mevcut bir hash ile değerleri karşılaştırmak için düz metin paroladan standarda uygun bcrypt hash üretir.

bcrypt ile parola nasıl hash'lenir

  1. 1

    Düz metin parolayı girin

    En fazla 72 byte — bcrypt bunun ötesini sessizce keser.

  2. 2

    Bir cost faktörü seçin

    10 mevcut varsayılandır; 12 yeni sistemlerde yaygındır; 14 fazlasıyla temkinlidir. Her +1 hash süresini kabaca ikiye katlar.

  3. 3

    Rastgele salt oluşturulur

    Kriptografik RNG'den 16 byte salt alınır ve ortaya çıkan hash stringine gömülür.

  4. 4

    Hash'i kopyalayın

    Çıktı, sürüm, cost, salt ve digest içeren `$2b$12$...` gibi kendini açıklayan bir stringdir.

Bir bcrypt hash’inin anatomisi

$2b$12$mE2n5YqWjKqT9tXg.OQPoeeHZJ9hdSvOt5wFdRRQwl6yE1vWWY3z6
  |   |  |                      |
  |   |  salt (22 Base64 chars)  digest (31 Base64 chars)
  |   cost (2 digits, 4-31)
  version (2a, 2b, 2y — all bcrypt)

Tüm string 60 karakterdir. VARCHAR(60) veya CHAR(60) tipli sütunlar standart şemadır.

Cost faktörü önerileri

Cost Hash başına yaklaşık süre (2024 CPU) Kullanım alanı
10 ~80 ms Eski varsayılan, hâlâ kabul edilebilir
12 ~300 ms Güncel önerilen taban
13 ~600 ms Daha yüksek güvenlikli uygulamalar
14 ~1.2 s Fazlasıyla temkinli; fark edilir giriş gecikmesi

Her artış iş faktörünü ikiye katlar. 500 ms altında giriş gecikmesi kritikse 10-12 aralığında kalın.

Sürüm byte’ı: 2a vs 2b vs 2y

  • $2a$ — Orijinal 1999 spesifikasyonu. Çoğu kütüphane 2a hash üretir.
  • $2b$ — crypt_blowfish içindeki kesme hatasını düzelten 2014 revizyonu. Yeni hash’ler için tercih edilir.
  • $2y$ — PHP’ye özgü etiket, işlevsel olarak $2b$ ile aynıdır.

Üçü de birbirine karşı doğrulanır; yalnızca hash stringindeki etiket farklıdır.

bcrypt neye karşı korur?

  • Rainbow table’lar — Hash başına benzersiz salt, önceden hesaplanmış aramaları boşa çıkarır.
  • GPU/ASIC kırma — Blowfish key schedule belleğe bağımlıdır ve GPU’lara düşmanca davranır. Argon2 kadar GPU karşıtı değildir, ama brute force için hâlâ yavaştır.
  • Veritabanı sızıntıları — Düz metin, brute force olmadan hash’ten geri getirilemez.

bcrypt’in korumadığı şeyler: zayıf parolalar (minimum uzunluk kullanın ve sızıntı listelerine karşı kontrol edin), credential stuffing (ikinci faktör kullanın), phishing.

72-byte sınırı

bcrypt parolanın yalnızca ilk 72 byte’ını kullanır. Daha uzun girdiler sessizce kesilir; birçok kütüphanenin artık parolayı bcrypt’e vermeden önce SHA-256 ile ön hash’lemeyi önermesinin nedeni de budur. Modern alternatiflerde (Argon2, scrypt) böyle bir sınır yoktur.

Sık Sorulan Sorular

Parola saklama için evet, cost ≥ 12 olduğunda. OWASP hâlâ bunu kabul edilebilir algoritma olarak listeler. Argon2id yeni sistemler için tercih edilen seçimdir, ama eski bcrypt hash’lerini taşımak düşük öncelikli bir kaygıdır.

Çünkü salt her hash için rastgele oluşturulur. Doğrulama, salt değerini saklanan hash’ten alır, gönderilen parolayı onunla yeniden hash’ler ve karşılaştırır.

Çoğu kütüphane bunu açığa çıkarmaz, iyi ki de çıkarmaz — tahmin edilebilir salt değerleri amacın kendisini bozar. Kütüphanenin ürettiği salt değerini kullanın; güvenli yol budur.

Evet — iş faktörü simetriktir. Cost-14 hash’i doğrulamak, cost-10 hash’i doğrulamaktan 16 kat uzun sürer. Giriş throughput’unuzu düşünerek ayarlayın.

İlgili Araçlar