EN
PT
ES
Generador y Verificador de Hash bcrypt
Genera hashes de contraseña con el estándar bcrypt y verifica una contraseña contra cualquier hash bcrypt. Coste configurable.
¿Qué es bcrypt?
bcrypt es una función de hashing de contraseñas diseñada por Niels Provos y David Mazières en 1999. Se basa en el cifrado Blowfish y es deliberadamente lenta: un factor de coste configurable controla cuántas rondas de inicialización se ejecutan antes de producir el hash, lo que permite a los defensores subir el coste conforme avanza el hardware. Cada hash incluye un salt aleatorio de 128 bits, así que hashear la misma contraseña dos veces produce salidas distintas y las tablas rainbow precomputadas resultan inútiles. La salida tiene forma $2b$10$…, donde 2b es la versión, 10 el coste y el resto es salt y digest. bcrypt sigue siendo la opción de cabecera para almacenar contraseñas en 2026: más simple que Argon2, más probada que scrypt y soportada en cualquier lenguaje serio.
Cómo usar
Para hashear, escribe la contraseña, elige el coste y pulsa Generar hash. La salida va directa a tu base de datos. Para verificar, pega el hash de la base y escribe la contraseña candidata, luego pulsa Verificar. bcrypt incluye el coste dentro del propio hash, por lo que no necesitas elegirlo de nuevo al verificar — la librería lo lee de la cadena.
Cómo elegir el coste
Cada paso de coste duplica el tiempo. Elige el coste más alto que mantenga el login por debajo de ~250 ms en tu hardware. Para logins de alto tráfico en servidores comunes, 10 (~60 ms) es el mínimo moderno; 12 (~250 ms) es cómodo para cuentas sensibles; 13–15 se justifica en credenciales críticas, midiendo siempre la latencia. Sube el coste al renovar la base — re-hashea en el próximo inicio de sesión.
Referencia de coste (CPU moderna, 1 hilo)
| Coste | Iteraciones | Tiempo aprox. |
|---|---|---|
| 4 | 16 | ~1 ms |
| 8 | 256 | ~15 ms |
| 10 (default) | 1,024 | ~60 ms |
| 12 | 4,096 | ~250 ms |
| 13 | 8,192 | ~500 ms |
| 14 | 16,384 | ~1 s |
| 15 | 32,768 | ~2 s |