このツールの用途
bcryptはBlowfishをベースにしたパスワードハッシュ関数です。汎用ハッシュアルゴリズムと比較して、意図的に遅く設計されており、パスワード保存シナリオにより適しています。
このページでは、設定可能なソルトラウンドでプレーンテキストをハッシュ化したり、プレーンテキスト値が既存のbcryptハッシュと一致するか検証したりできます。
使い方
- ハッシュ側で元のプレーンテキストを入力し、必要に応じてソルトラウンドを調整します。
- bcrypt出力は結果エリアに自動生成されます。
- 検証側でプレーンテキストと既存のハッシュを入力し、一致するか確認します。
実用的な注意事項
- ソルトラウンドが高いほど、ブルートフォース攻撃への耐性が向上しますが、計算コストも増加します。
- bcryptはパスワードハッシュ化用であり、一般的なデータ整合性チェックには適していません。
- bcryptにはソルトが含まれるため、同じプレーンテキストを2回ハッシュ化しても異なる出力が生成される場合があります。
よくある質問
SHA-256ではなくbcryptを使うべき場面は?
bcryptは意図的に遅くsaltを含むため、パスワード保存に向いています。SHA-256は一般的なチェックサムやダイジェスト向けで、パスワード保存には不向きです。
bcryptのコスト係数はどれを選べばよいですか?
総当たりに耐えつつログイン処理に許容できる速度を選びます。多くのアプリは10から12付近で始め、性能測定後に調整します。
bcryptハッシュは復号できますか?
できません。bcryptは一方向ハッシュです。検証では入力された候補パスワードを保存済みハッシュの設定で再計算し、結果を比較します。