bcryptパスワード検証ツール
プライバシー優先設計 — すべてブラウザ内で処理します
bcryptハッシュが指定したパスワードと一致するかを、ブラウザ内で検証できます。Toovaを使えば、パスワード検証のテスト、コストファクターの確認、bcryptの挙動の確認を、実際の資格情報をサードパーティのサーバーへ晒すことなく行えます。
bcryptの役割と重要性
bcryptは意図的に遅く設計されたパスワードハッシュ関数です。遅さこそが特徴であり、最新のハードウェアを使った総当たり攻撃のコストを跳ね上げます。最新のWebフレームワークはすべてbcryptをサポートしており、MD5や素のSHA-256で保存されたパスワードは実質的に平文に近い状態です。Toovaは、実際のパスワードデータを晒すことなく、bcrypt検証フローのデバッグを助けます。
コストファクターと構造
bcryptハッシュは $2b$12$... のような形をしており、$2b$ はアルゴリズムのバージョン、12 はコストファクター(必要な計算ラウンド数)を示します。1段階上がるごとに所要時間は倍になります。Toovaはコストファクターを表示するため、古いコードに残った時代遅れの低い値ではなく、最新の値(10〜13が現代の範囲)が使われているかを確認できます。
ローカルのみの検証
検証はすべてブラウザ内で実行されます。テスト用パスワードと対象ハッシュがページから外に出ることはありません。bcryptの操作は設計上遅いため重要です。サードパーティのサーバーはすべての試行をログに残し、パスワードを漏洩させる恐れがあります。Toovaなら、実資格情報を晒さずに認証フローを安全にデバッグできます。
よくある質問
- bcryptのコストファクターはどれくらいが良いですか?
- 2026年時点では10〜13です。値が大きいほど安全ですが、ログイン遅延が増えます。本番ハードウェアでログイン成功が250 ms 以内に完了する範囲で、最も高い値を選んでください。
- ここでbcryptハッシュを生成できますか?
- はい。Toovaはハッシュ生成と、既存ハッシュに対する候補パスワードの検証の両方ができます。生成時は設定したコストファクターを尊重します。
- bcryptは毎回違うハッシュを返すのはなぜですか?
- bcryptはすべてのハッシュにランダムなソルトを埋め込みます。同じパスワードのハッシュ同士でも見た目は完全に異なります。検証関数はハッシュに焼き込まれたソルトを使って候補パスワードを比較するため、どのハッシュに対しても同じパスワードが検証を通ります。
- bcryptは今でも推奨されますか?
- はい、今でも堅実な選択です。Argon2idはPassword Hashing Competitionの現代の勝者であり、議論の余地はあれど優れていますが、bcryptは依然として許容範囲であり、言語やフレームワーク間で広くサポートされています。
- パスワードはどこかへ送信されますか?
- いいえ。検証はすべてブラウザ内で実行されます。パスワードとハッシュがページから外に出ることはありません。