bcrypt 的成本因子設多少比較好?

在 2026 年大致是 10 到 13。較高的值更安全,但會增加登入延遲。請選擇能讓成功登入仍在正式環境硬體上於 250 毫秒內完成的最高值。

可以在這裡產生 bcrypt 雜湊嗎?

可以。Toova 既能產生雜湊,也能拿候選密碼比對既有雜湊。產生時會尊重您設定的成本因子。

為什麼 bcrypt 每次都產生不同的雜湊?

bcrypt 會在每個雜湊內嵌入隨機鹽。同一個密碼的兩份雜湊看起來會完全不同。驗證函式會用候選密碼比對埋在雜湊內的鹽,所以同一個密碼能成功對到自己的任何雜湊。

bcrypt 現在還推薦使用嗎?

推薦。它仍是穩健的選擇。Argon2id 是 Password Hashing Competition 的現代贏家,可說更好,但 bcrypt 依然可接受,而且在各種語言與框架中都有廣泛支援。

我的密碼會被送到任何地方嗎?

不會。驗證完全在您的瀏覽器中執行。密碼與雜湊從不離開頁面。

Bcrypt 測試工具 — 線上驗證 bcrypt 密碼雜湊

Bcrypt 密碼驗證工具

注重隱私的設計 — 完全在您的瀏覽器中執行

在瀏覽器中驗證 bcrypt 雜湊是否符合給定密碼。Toova 讓您測試密碼驗證、檢視成本因子、探索 bcrypt 行為,不必把真實憑證暴露給第三方伺服器。

bcrypt 在做什麼,以及為什麼重要

bcrypt 是一個刻意設計得很慢的密碼雜湊函式。慢就是它的特點——即便面對現代硬體,也能讓暴力破解的成本高得不切實際。每個現代 Web 框架都內建 bcrypt 支援,任何以 MD5 或純 SHA-256 儲存的密碼,基本上等於明文。Toova 讓您在不暴露真實密碼的情況下,除錯 bcrypt 驗證流程。

成本因子與結構

bcrypt 雜湊長得像 $2b$12$...,其中 $2b$ 代表演算法版本,12 是成本因子——也就是所需的運算回合數。每多一級時間就會加倍。Toova 會顯示成本因子,讓您確認應用程式使用的是現代範圍(10 到 13),而不是來自舊程式碼的過低值。

純本機驗證

驗證完全在您的瀏覽器中執行。您測試的密碼與目標雜湊從不離開頁面。這很重要,因為 bcrypt 本身設計就慢——第三方伺服器會記錄每一次嘗試,可能造成密碼洩漏。透過 Toova,您可以安全地除錯驗證流程,不會曝露真實憑證。

常見問題

bcrypt 的成本因子設多少比較好?: 在 2026 年大致是 10 到 13。較高的值更安全,但會增加登入延遲。請選擇能讓成功登入仍在正式環境硬體上於 250 毫秒內完成的最高值。
可以在這裡產生 bcrypt 雜湊嗎?: 可以。Toova 既能產生雜湊,也能拿候選密碼比對既有雜湊。產生時會尊重您設定的成本因子。
為什麼 bcrypt 每次都產生不同的雜湊?: bcrypt 會在每個雜湊內嵌入隨機鹽。同一個密碼的兩份雜湊看起來會完全不同。驗證函式會用候選密碼比對埋在雜湊內的鹽,所以同一個密碼能成功對到自己的任何雜湊。
bcrypt 現在還推薦使用嗎?: 推薦。它仍是穩健的選擇。Argon2id 是 Password Hashing Competition 的現代贏家,可說更好,但 bcrypt 依然可接受,而且在各種語言與框架中都有廣泛支援。
我的密碼會被送到任何地方嗎?: 不會。驗證完全在您的瀏覽器中執行。密碼與雜湊從不離開頁面。