Rechner Welt
🇩🇪DE🇬🇧EN

Bcrypt-Hash-Generator 2026

Stand April 2026
Geprueft von Finanzrechner-Redaktion, Redaktion Tools|Stand: April 2026|Quellen: OWASP Password Storage Cheat Sheet, Bcrypt Original Paper (Provos, Mazieres 1999), bcryptjs npm package

Erzeugt und verifiziert Bcrypt-Hashes mit waehlbarem Cost-Factor (4-14) — komplett im Browser via bcryptjs.

Das Tool nutzt bcryptjs zur Erzeugung von Bcrypt-Hashes mit Cost-Factor 4 bis 14 (OWASP empfiehlt mindestens 12). Salt wird automatisch generiert und im Hash gespeichert. Auch Verifikation gegen vorhandene Hashes ist moeglich.

Hash erzeugen

Hash verifizieren

So funktioniert Bcrypt

Bcrypt iteriert die EKS-Blowfish-Variante 2^cost mal. Der Salt verhindert Rainbow-Tables, der hohe Iterationsfaktor verhindert Brute-Force. Das Tool ruft bcryptjs auf — eine reine JS-Portierung der C-Referenz.

Algorithmus und Format

Format: $2a$cost$22-char-salt 31-char-hash. Insgesamt 60 Zeichen. Cost 10 dauert ~75 ms, Cost 12 ~250 ms, Cost 14 ~1 s — gut zur Skalierung mit Hardware.

Anwendungsfaelle

Passwort-Hashing in Login-Systemen (Rails, Django, Node, Laravel — fast alle Frameworks unterstuetzen Bcrypt nativ). Auch fuer API-Token-Hashes geeignet.

Datenschutz

Keine Server-Uebertragung. Alle Berechnungen lokal.

Typische Fehler

  • Cost zu niedrig — Brute-Force wird billiger.
  • Eigener Salt zusaetzlich — Bcrypt erzeugt Salt selbst.
  • Bcrypt-Hash mit SHA-Compare verglichen — bcrypt.compare verwenden.
  • Passwort laenger als 72 Bytes — Bcrypt schneidet ab, KDF wie Argon2 ohne Limit.

Häufige Fragen

Bcrypt ist eine adaptive Passwort-Hash-Funktion auf Basis von Blowfish, vorgestellt 1999 von Provos und Mazieres. Sie integriert Salt automatisch und ist absichtlich langsam.
Der Cost-Factor steuert die Iterationszahl als 2^cost. Cost 10 = 1024 Iterationen, Cost 14 = 16384. Je hoeher, desto langsamer und sicherer gegen Brute-Force.
OWASP empfiehlt 2024 mindestens Cost 12. Bei 12 dauert ein Hash etwa 250 ms auf normaler Hardware — gerade noch praktikabel fuer Login, aber sehr teuer fuer Brute-Force.
Bei Hash-Leak muss ein Angreifer jeden Kandidaten neu durch die langsame Funktion jagen. 250 ms statt Mikrosekunden bedeutet Faktor Million bei Brute-Force-Kosten.
Ja. Bcrypt enthaelt Salt im Output-Format und erzeugt ihn intern zufaellig. Sie muessen ihn nicht separat speichern.
$2a$12$saltsaltsaltsalthashhashhashhashhashhashhashhashhashha — Algorithmus, Cost, Salt (22 Zeichen Base64), Hash (31 Zeichen).
Nein. Berechnung laeuft per bcryptjs vollstaendig im Browser.
Argon2 (Sieger des Password Hashing Competition 2015) ist die modernere Wahl, insbesondere Argon2id. Bcrypt bleibt aber weit verbreitet und sicher.

Verwandte Tools

🔐SHA-256-Generator🔐Passwort-Generator🔐HMAC-Generator

Alle Tools laufen vollständig im Browser, es werden keine eingegebenen Daten an einen Server übertragen. Ohne Gewähr — keine Rechts-, Steuer- oder Finanzberatung.

Letzte Aktualisierung: April 2026 | Quellen: OWASP Password Storage Cheat Sheet, Bcrypt Original Paper (Provos, Mazieres 1999), bcryptjs npm package