Can I reverse a bcrypt hash to get the original password?

No. Bcrypt is a one-way hash function — it is computationally infeasible to reverse. To verify a password, you hash the candidate and compare it to the stored hash, which is what the Verify tab does.

Why does bcrypt produce a different hash each time for the same input?

Bcrypt automatically generates a random 128-bit salt for each hash. The salt is embedded in the resulting hash string. This means two hashes of the same password look different but both verify correctly against the original password.

What is the maximum input length for bcrypt?

Bcrypt truncates input at 72 bytes. Passwords longer than 72 bytes are silently truncated. For very long passphrases, consider pre-hashing with SHA-256 before bcrypt, or use Argon2 instead.

Is bcrypt still recommended or should I use Argon2?

Bcrypt remains a strong and widely supported choice for password hashing. Argon2 (winner of the Password Hashing Competition) is the modern recommendation for new systems as it is also memory-hard. Both are vastly better than raw SHA-256 or MD5 for passwords.

Outil Gratuit

Générateur et vérificateur Bcrypt

Hacher les mots de passe avec bcrypt et vérifier les hachages par rapport au texte en clair. Choisissez votre facteur de coût. S'exécute entièrement dans votre navigateur — aucune donnée n'est envoyée à aucun serveur.

Générateur et vérificateur Bcrypt

Mot de passe en clair

Facteur de coût (facteur de travail)10

4 (fastest)14 (slowest)

Coût plus élevé = plus sécurisé mais plus lent à calculer.

À propos de bcrypt

Bcrypt est une fonction de hachage de mots de passe conçue pour être lente et coûteuse en calcul, rendant les attaques par force brute impratiques. Contrairement à SHA-256, qui est conçu pour être rapide, bcrypt se ralentit délibérément à chaque augmentation du facteur de coût. Le facteur de coût double le travail par incrément — le coût 11 est deux fois plus lent que le coût 10.

Vos données restent dans votre navigateur — aucune donnée n'est envoyée à aucun serveur.

Qu'est-ce que bcrypt ?

Bcrypt est un algorithme de hachage de mots de passe conçu par Niels Provos et David Mazières en 1999. Contrairement aux fonctions de hachage cryptographique à usage général comme SHA-256, bcrypt est spécifiquement conçu pour être lent et gourmand en CPU, ce qui le rend résistant aux attaques par force brute et aux attaques par dictionnaire. Il intègre également un salt aléatoire automatiquement, de sorte que les mots de passe identiques produisent des hachages différents à chaque fois.

Choisir un facteur de coût

Le facteur de coût (également appelé facteur de travail ou tours) contrôle le coût de calcul du hachage. C'est un logarithme en base 2 — le coût 10 effectue 2¹⁰ = 1024 itérations, le coût 11 effectue 2048, et ainsi de suite. L'OWASP recommande un coût minimum de 10, et 12 ou plus pour les nouvelles applications à mesure que le matériel s'améliore. Visez un temps de hachage de 100 à 300 ms dans votre environnement de production.

Comment utiliser

Sélectionnez l'onglet Hacher, entrez votre mot de passe en clair et choisissez un facteur de coût.
Cliquez sur Générer le hachage — le hachage bcrypt apparaît dans la zone de sortie.
Copiez le hachage pour le stocker dans votre base de données.
Pour vérifier plus tard : basculez vers l'onglet Vérifier, entrez le texte en clair et le hachage stocké, puis cliquez sur Vérifier.

Questions Fréquemment Posées

Puis-je inverser un hachage bcrypt pour obtenir le mot de passe d'origine ?: Non. Bcrypt est une fonction de hachage unidirectionnelle — il est informatiquement infaisable d'inverser un hachage bcrypt. La seule façon de vérifier un mot de passe est de hacher le candidat et de comparer, ce que fait exactement l'onglet Vérifier.
Pourquoi bcrypt produit-il un hachage différent à chaque fois pour la même entrée ?: Bcrypt génère automatiquement un salt aléatoire de 128 bits pour chaque hachage. Le salt est intégré dans la chaîne de hachage (le préfixe $2b$10$... contient à la fois le coût et le salt). Cela signifie que deux hachages du même mot de passe auront un aspect différent mais vérifieront correctement.
Quelle est la longueur d'entrée maximale pour bcrypt ?: Bcrypt tronque l'entrée à 72 octets. Si votre mot de passe en clair dépasse 72 octets (environ 72 caractères ASCII, moins pour les caractères multibyte), seuls les 72 premiers octets sont hachés. Pour les très longues phrases de passe, envisagez un pré-hachage avec SHA-256 avant bcrypt, ou utilisez Argon2 à la place.
Bcrypt est-il toujours recommandé ou dois-je utiliser Argon2 ?: Bcrypt reste un choix fort et largement pris en charge pour le hachage des mots de passe et est sûr à utiliser. Argon2 (gagnant du Password Hashing Competition) est la recommandation moderne pour les nouveaux systèmes, car il est également à mémoire dure, rendant les attaques basées sur GPU plus coûteuses. Les deux sont bien meilleurs que d'utiliser SHA-256 ou MD5 bruts pour les mots de passe.

Outils Connexes

Hash Generator

Generate MD5, SHA-1, SHA-2, SHA-3, and Argon2 hashes — browser-side, no upload

Password Generator

Generate strong random passwords with entropy scoring

Text Encryptor

Encrypt and decrypt text with AES-256-GCM, AES-256-CBC, or RSA-OAEP — browser-side