O que é bcrypt?

bcrypt é um algoritmo de hashing de senha projetado para ser lento e computacionalmente caro, tornando-o resistente a ataques de força bruta. Diferentemente de funções hash rápidas como MD5 ou SHA-256, bcrypt intencionalmente leva mais tempo para computar, o que aumenta significativamente o custo para atacantes tentando quebrar senhas.

Por que usar bcrypt?

Fator de Custo Adaptável

Você pode aumentar o número de rounds conforme o hardware fica mais rápido, mantendo seus hashes seguros ao longo do tempo

Salt Integrado

Cada hash inclui um salt aleatório único, prevenindo ataques de tabela arco-íris

Padrão da Indústria

Usado por frameworks principais incluindo Laravel, Ruby on Rails, Django e Spring Security

Testado em Batalha

Baseado na cifra Blowfish, em uso desde 1999 sem vulnerabilidades práticas conhecidas

Entendendo o Formato de Hash bcrypt

Exemplo de hash: $2b$12$WApznUPhDubN0oeveSFPpOLo0dVMFJ.3CC9TmGkMxLFvnEGbgm4jq

$2b$

Versão do algoritmo (2b é o padrão atual)

12

Fator de custo (rounds = 2^12 = 4.096 iterações)

22 Caracteres

O salt (codificado em Base64)

31 Caracteres

O hash (codificado em Base64)

Table of Contents

1. O que é bcrypt?
- 1.1. Por que usar bcrypt?
- 1.2. Entendendo o Formato de Hash bcrypt
2. Como Usar
3. Recursos
4. Perguntas Frequentes

Como Usar

Gerar um Hash bcrypt

Selecione a Aba Gerar

Certifique-se de que a aba Gerar está selecionada na interface da ferramenta

Digite a Senha

Digite sua senha no campo de entrada

Escolha o Fator de Custo

Selecione o número de rounds — o padrão de 12 é recomendado para a maioria dos casos de uso

Gerar

Clique no botão Gerar Hash para criar seu hash bcrypt

Copiar Resultado

Use o botão copiar para copiar o hash resultante para sua área de transferência

Verificar uma Senha

Mude para a Aba Verificar

Clique na aba Verificar na interface da ferramenta

Digite a Senha

Digite a senha que você deseja verificar

Cole o Hash

Cole o hash bcrypt que você deseja verificar

Verificar

Clique no botão Verificar Senha para verificar se eles correspondem

Verificar Resultado

O resultado mostrará Correspondência (verde) ou Não Corresponde (vermelho)

Escolhendo o Fator de Custo Correto

Recomendação: Para a maioria das aplicações em produção, use 12 rounds para o equilíbrio ideal entre segurança e desempenho.

Rounds	Nível de Segurança	Caso de Uso
4–9	Baixo	Apenas desenvolvimento e testes
10–11	Médio	Aplicações de baixa segurança
12–13	Recomendado	Aplicações em produção
14–17	Alto	Sistemas de alta segurança
18+	Muito Alto	Segurança máxima (geração lenta)

Recursos

Dois Modos: Gerar e Verificar

Alterne entre gerar novos hashes bcrypt e verificar hashes existentes com um único clique.

O modo Gerar cria novos hashes a partir de senhas
O modo Verificar verifica a senha contra um hash existente
Alternância perfeita entre modos

Fator de Custo Ajustável

Escolha entre rounds 4 a 31 para controlar a força do hashing com badges de segurança codificados por cor.

Indicadores visuais de nível de segurança
Equilibre segurança versus desempenho
Mais rounds = segurança mais forte

Informações Detalhadas de Hash

Veja a versão do algoritmo, fator de custo e tempo exato de geração para entender o impacto no desempenho.

Exibição de versão do algoritmo
Detalhamento do fator de custo
Métricas de desempenho em tempo real

Segurança no Lado do Cliente

Todo o hashing de senha e verificação acontece inteiramente no seu navegador usando a biblioteca bcryptjs.

Sem transmissão de servidor
Proteção completa de privacidade
Funciona offline

Privacidade em Primeiro Lugar: Suas senhas nunca saem do seu navegador. Todas as operações são realizadas localmente usando JavaScript.

Perguntas Frequentes

Por que a mesma senha produz hashes diferentes?

bcrypt gera automaticamente um salt aleatório único para cada hash. Isso significa que até mesmo senhas idênticas produzirão hashes completamente diferentes, o que impede que atacantes usem tabelas pré-computadas (tabelas arco-íris) para quebrar senhas.

Benefício de segurança: Cada hash é único, tornando ataques de tabela arco-íris impossíveis mesmo para senhas comuns.

Qual fator de custo devo usar?

Para a maioria das aplicações em produção, 12 rounds é recomendado. Isso fornece um bom equilíbrio entre segurança e desempenho.

Use 12 rounds para aplicações de produção padrão
Use 14+ rounds para dados altamente sensíveis
Use 4-8 rounds apenas para desenvolvimento e testes

Importante: Fatores de custo mais altos aumentam significativamente o tempo de processamento. Teste o impacto no desempenho antes de implantar em produção.

Qual é a diferença entre $2a$, $2b$ e $2y$?

$2a$

Especificação bcrypt original

$2b$

Versão atualizada corrigindo o tratamento de senhas longas

$2y$

Identificador de implementação PHP

Todas as três versões são compatíveis — esta ferramenta gera hashes $2b$ e pode verificar todos os três formatos.

Existe um comprimento máximo de senha?

bcrypt processa até 72 bytes de entrada. Caracteres além desse limite são silenciosamente truncados.

Para senhas longas: Se você precisar fazer hash de senhas muito longas, considere fazer pré-hash com SHA-256 antes de aplicar bcrypt.

Para a maioria das senhas isso não é um problema, pois senhas típicas têm bem menos de 72 caracteres.

Minha senha é segura ao usar esta ferramenta?

Sim, absolutamente. Todo o hashing e verificação é realizado inteiramente no seu navegador usando JavaScript. Sua senha nunca é transmitida para nenhum servidor.

Processamento 100% no lado do cliente
Sem comunicação com servidor
Funciona offline
Sem registro ou armazenamento de dados

Verifique você mesmo: Você pode testar isso usando a ferramenta enquanto desconectado da internet — funcionará perfeitamente.