¿Cuál es un buen factor de costo bcrypt?

De 10 a 13 en 2026. Valores más altos son más seguros pero aumentan la latencia de login. Elige el valor más alto donde un inicio de sesión exitoso aún se complete en menos de 250 ms en tu hardware de producción.

¿Puedo generar un hash bcrypt aquí?

Sí. Toova puede tanto generar hashes como verificar una contraseña candidata contra un hash existente. La generación respeta el factor de costo que configures.

¿Por qué bcrypt produce un hash diferente cada vez?

Bcrypt embebe una sal aleatoria en cada hash. Dos hashes de la misma contraseña se ven completamente distintos. La función de verificación compara la contraseña candidata contra la sal incorporada en el hash, por eso la misma contraseña verifica contra cualquiera de sus hashes.

¿Bcrypt todavía es recomendado?

Sí, sigue siendo una opción sólida. Argon2id es el ganador moderno del Password Hashing Competition y discutiblemente mejor, pero bcrypt sigue siendo aceptable y ampliamente soportado en lenguajes y frameworks.

¿Se envía mi contraseña a algún lado?

No. La verificación se ejecuta enteramente en tu navegador. La contraseña y el hash nunca salen de la página.

Tester de Bcrypt — Verifica hashes de contraseña bcrypt

Verificador de contraseñas Bcrypt

Privacidad por diseño — se ejecuta completamente en tu navegador

Verifica que un hash bcrypt coincida con una contraseña dada, en tu navegador. Toova te permite probar la verificación de contraseñas, inspeccionar el factor de costo y explorar el comportamiento de bcrypt sin exponer credenciales reales a un servidor de terceros.

Qué hace bcrypt y por qué importa

Bcrypt es una función de hashing de contraseñas diseñada para ser lenta. La lentitud es la característica: hace que los ataques de fuerza bruta sean prohibitivamente caros, incluso con hardware moderno. Cada framework web moderno trae soporte de bcrypt, y cualquier contraseña almacenada como MD5 o SHA-256 plano está esencialmente en texto plano. Toova te ayuda a depurar flujos de verificación bcrypt sin exponer datos reales de contraseña.

Factor de costo y estructura

Un hash bcrypt se ve como $2b$12$... donde $2b$ identifica la versión del algoritmo y 12 es el factor de costo: cuántas rondas de cómputo se requieren. Cada paso arriba duplica el tiempo. Toova expone el factor de costo para que puedas verificar que tu aplicación usa un valor reciente (10-13 es el rango moderno) en lugar de un costo bajo desactualizado de código viejo.

Verificación sólo local

La verificación corre enteramente en tu navegador. Tu contraseña de prueba y hash objetivo nunca salen de la página. Eso importa porque las operaciones bcrypt son lentas por diseño: un servidor de terceros registraría cada intento y potencialmente filtraría la contraseña. Con Toova, puedes depurar tu flujo de autenticación de forma segura sin exponer credenciales reales.

Preguntas frecuentes

¿Cuál es un buen factor de costo bcrypt?: De 10 a 13 en 2026. Valores más altos son más seguros pero aumentan la latencia de login. Elige el valor más alto donde un inicio de sesión exitoso aún se complete en menos de 250 ms en tu hardware de producción.
¿Puedo generar un hash bcrypt aquí?: Sí. Toova puede tanto generar hashes como verificar una contraseña candidata contra un hash existente. La generación respeta el factor de costo que configures.
¿Por qué bcrypt produce un hash diferente cada vez?: Bcrypt embebe una sal aleatoria en cada hash. Dos hashes de la misma contraseña se ven completamente distintos. La función de verificación compara la contraseña candidata contra la sal incorporada en el hash, por eso la misma contraseña verifica contra cualquiera de sus hashes.
¿Bcrypt todavía es recomendado?: Sí, sigue siendo una opción sólida. Argon2id es el ganador moderno del Password Hashing Competition y discutiblemente mejor, pero bcrypt sigue siendo aceptable y ampliamente soportado en lenguajes y frameworks.
¿Se envía mi contraseña a algún lado?: No. La verificación se ejecuta enteramente en tu navegador. La contraseña y el hash nunca salen de la página.