bcrypt Oluşturucu
bcrypt, parolaları saklamak için hâlâ en güvenli seçeneklerden biridir. Bilerek yavaştır, kendi salt değerini türetir ve ayarlanabilir cost parametresiyle donanım gelişmelerine karşı ölçeklenir. Bu oluşturucu, bir test kullanıcısı seed etmek, bir hesabı sistemler arasında taşımak veya users.password sütununda saklanan mevcut bir hash ile değerleri karşılaştırmak için düz metin paroladan standarda uygun bcrypt hash üretir.
bcrypt ile parola nasıl hash'lenir
-
1
Düz metin parolayı girin
En fazla 72 byte — bcrypt bunun ötesini sessizce keser.
-
2
Bir cost faktörü seçin
10 mevcut varsayılandır; 12 yeni sistemlerde yaygındır; 14 fazlasıyla temkinlidir. Her +1 hash süresini kabaca ikiye katlar.
-
3
Rastgele salt oluşturulur
Kriptografik RNG'den 16 byte salt alınır ve ortaya çıkan hash stringine gömülür.
-
4
Hash'i kopyalayın
Çıktı, sürüm, cost, salt ve digest içeren `$2b$12$...` gibi kendini açıklayan bir stringdir.
Bir bcrypt hash’inin anatomisi
$2b$12$mE2n5YqWjKqT9tXg.OQPoeeHZJ9hdSvOt5wFdRRQwl6yE1vWWY3z6
| | | |
| | salt (22 Base64 chars) digest (31 Base64 chars)
| cost (2 digits, 4-31)
version (2a, 2b, 2y — all bcrypt)
Tüm string 60 karakterdir. VARCHAR(60) veya CHAR(60) tipli sütunlar standart şemadır.
Cost faktörü önerileri
| Cost | Hash başına yaklaşık süre (2024 CPU) | Kullanım alanı |
|---|---|---|
| 10 | ~80 ms | Eski varsayılan, hâlâ kabul edilebilir |
| 12 | ~300 ms | Güncel önerilen taban |
| 13 | ~600 ms | Daha yüksek güvenlikli uygulamalar |
| 14 | ~1.2 s | Fazlasıyla temkinli; fark edilir giriş gecikmesi |
Her artış iş faktörünü ikiye katlar. 500 ms altında giriş gecikmesi kritikse 10-12 aralığında kalın.
Sürüm byte’ı: 2a vs 2b vs 2y
$2a$— Orijinal 1999 spesifikasyonu. Çoğu kütüphane2ahash üretir.$2b$— crypt_blowfish içindeki kesme hatasını düzelten 2014 revizyonu. Yeni hash’ler için tercih edilir.$2y$— PHP’ye özgü etiket, işlevsel olarak$2b$ile aynıdır.
Üçü de birbirine karşı doğrulanır; yalnızca hash stringindeki etiket farklıdır.
bcrypt neye karşı korur?
- Rainbow table’lar — Hash başına benzersiz salt, önceden hesaplanmış aramaları boşa çıkarır.
- GPU/ASIC kırma — Blowfish key schedule belleğe bağımlıdır ve GPU’lara düşmanca davranır. Argon2 kadar GPU karşıtı değildir, ama brute force için hâlâ yavaştır.
- Veritabanı sızıntıları — Düz metin, brute force olmadan hash’ten geri getirilemez.
bcrypt’in korumadığı şeyler: zayıf parolalar (minimum uzunluk kullanın ve sızıntı listelerine karşı kontrol edin), credential stuffing (ikinci faktör kullanın), phishing.
72-byte sınırı
bcrypt parolanın yalnızca ilk 72 byte’ını kullanır. Daha uzun girdiler sessizce kesilir; birçok kütüphanenin artık parolayı bcrypt’e vermeden önce SHA-256 ile ön hash’lemeyi önermesinin nedeni de budur. Modern alternatiflerde (Argon2, scrypt) böyle bir sınır yoktur.
Sık Sorulan Sorular
Parola saklama için evet, cost ≥ 12 olduğunda. OWASP hâlâ bunu kabul edilebilir algoritma olarak listeler. Argon2id yeni sistemler için tercih edilen seçimdir, ama eski bcrypt hash’lerini taşımak düşük öncelikli bir kaygıdır.
Çünkü salt her hash için rastgele oluşturulur. Doğrulama, salt değerini saklanan hash’ten alır, gönderilen parolayı onunla yeniden hash’ler ve karşılaştırır.
Çoğu kütüphane bunu açığa çıkarmaz, iyi ki de çıkarmaz — tahmin edilebilir salt değerleri amacın kendisini bozar. Kütüphanenin ürettiği salt değerini kullanın; güvenli yol budur.
Evet — iş faktörü simetriktir. Cost-14 hash’i doğrulamak, cost-10 hash’i doğrulamaktan 16 kat uzun sürer. Giriş throughput’unuzu düşünerek ayarlayın.
İlgili Araçlar
A1Z26 Şifre Kodlayıcı
A1Z26 şifresiyle (A=1, B=2, ... Z=26) metni kodlayın veya sayı dizisini özel ayraçla tekrar harflere çözün.
AES Şifrele / Şifre Çöz
Düşük riskli metni OpenSSL AES şifreleriyle şifreleyin ve çözün. Parola cümlesi SHA-256 ile özetlenir; Base64 çıktı IV artı şifreli metin içerir.
Atbash Şifre Kodlayıcı
Metni Atbash şifresiyle kodlayın veya çözün; A-Z harflerini Z-A ile eşleyen İbrani kökenli bir yerine koyma şifresidir. Aynı işlem hem şifreler hem çözer.
Base85 Kodlayıcı ve Çözücü
Adobe Ascii85 (PostScript/PDF) veya Z85 (ZeroMQ) varyantlarında Base85 kodlayın ve çözün. İkili veri için Base64'ten daha kompakttır.
Base32 Kodlayıcı ve Çözücü
RFC 4648 alfabesini kullanarak Base32 stringlerini kodlayın ve çözün. TOTP secret'ları, büyük/küçük harf duyarsız token'lar ve insanın yazdığı tanımlayıcılar için kullanışlıdır.
bcrypt Hash Oluşturucu
bcrypt hash üretin veya düz metin parolayı mevcut bir bcrypt hash'e karşı doğrulayın. Tek araçta yan yana üretme ve doğrulama.