Bcrypt 해시 생성 및 검증 도구

Bcrypt란?

// Node.js — bcryptjs / bcrypt (emits $2b$)
const bcrypt = require('bcrypt');
const hash = await bcrypt.hash('correct horse battery staple', 12);
// -> $2b$12$dUSFKqT1FCMYZ6hcQfsxuONizEqcX8IGK8snfVSowP5Uu.TDJoPUq
const ok = await bcrypt.compare('correct horse battery staple', hash); // true

# Python — bcrypt
import bcrypt
hashed = bcrypt.hashpw(b'correct horse battery staple', bcrypt.gensalt(12))
bcrypt.checkpw(b'correct horse battery staple', hashed)  # True

# PHP — password_hash (emits $2y$)
$hash = password_hash('correct horse battery staple', PASSWORD_BCRYPT, ['cost' => 12]);
password_verify('correct horse battery staple', $hash); // true

# Apache htpasswd CLI — bcrypt entry to stdout (-B bcrypt, -b inline, -n stdout)
htpasswd -Bbn admin 'correct horse battery staple'
# -> admin:$2y$12$dUSFKqT1FCMYZ6hcQfsxuONizEqcX8IGK8snfVSowP5Uu.TDJoPUq

주요 기능

Bcrypt 생성기 예시

password: correct horse battery staple
cost: 12
prefix: $2b$

$2b$12$dUSFKqT1FCMYZ6hcQfsxuONizEqcX8IGK8snfVSowP5Uu.TDJoPUq

password: correct horse battery staple
hash: $2b$12$dUSFKqT1FCMYZ6hcQfsxuONizEqcX8IGK8snfVSowP5Uu.TDJoPUq

✓ Match — the password is correct for this hash

$2b$12$dUSFKqT1FCMYZ6hcQfsxuONizEqcX8IGK8snfVSowP5Uu.TDJoPUq

version: $2b$ · cost: 12 · salt: dUSFKqT1FCMYZ6hcQfsxuO · digest: NizEqcX8IGK8snfVSowP5Uu.TDJoPUq

Bcrypt 생성기 사용법

1. 1

   비밀번호 입력 및 비용 선택

   생성 탭에서 비밀번호를 입력하거나 무작위 비밀번호를 클릭하세요. 비용 인자(4~15, 12가 오늘날의 기본값)와 버전 접두사 — $2b$, $2a$, $2y$ — 를 사용 환경에 맞게 선택합니다.

2. 2

   해시 생성

   bcrypt 해시는 새로운 무작위 솔트와 함께 로컬에서 계산되어 단일 60자 $2b$12$... 문자열로 나타납니다. 복사를 클릭해 가져오거나, 다시 생성해 새로 솔트된 해시를 얻으세요.

3. 3

   구조 읽기 또는 검증

   구조 패널은 해시를 버전·비용·솔트·다이제스트로 분리합니다. 검증 탭으로 전환해 저장된 해시와 비밀번호를 붙여 넣으면 일치 여부를 즉시 확인할 수 있습니다.

Common Errors

bcrypt.decrypt(hash)  // no such operation

bcrypt.compare(password, hash)  // returns true / false

cost: 4  // far too fast, weak against brute force

cost: 12  // modern default, resists brute force

hash(pw) === storedHash  // fails — different salts

bcrypt.compare(pw, storedHash)  // correct check

일반적인 사용 사례

데이터베이스에 비밀번호 해시 시드하기

관리자 또는 테스트 계정용 bcrypt 해시를 생성해 users 테이블에 직접 삽입하면, 전체 가입 흐름을 먼저 구성하지 않고도 로그인할 수 있습니다.

실패하는 로그인 디버깅

정상적인 비밀번호를 저장된 해시에 대해 검증해 해시 자체가 올바른지 확인함으로써, 인증 코드와 버그를 분리해 낼 수 있습니다.

적절한 비용 인자 선택

여러 비용 수준으로 직접 하드웨어에서 생성해 각각 얼마나 걸리는지 체감한 뒤, 실제 로그인을 늦추지 않으면서 무차별 대입에 견디는 작업 인자를 선택하세요.

htpasswd / Basic Auth 항목 생성

Apache, Docker Registry, Caddy 자격 증명용 $2y$ bcrypt 해시를 생성한 뒤, HTTP Basic Auth를 위한 user:hash 줄에 넣으세요.

테스트 픽스처 구축

비밀번호별로 결정적인 bcrypt 해시를 만들어, 실제 인증 서버를 띄우지 않고도 로그인 또는 비밀번호 재설정 흐름의 통합 테스트를 시드하세요.

발견한 해시 감사하기

설정 파일이나 덤프에 있는 bcrypt 문자열의 구조를 읽어 비용 인자를 확인하고, 예상한 비밀번호에 대해 검증해 일치를 확인하세요.

기술 세부 정보

Blowfish 기반, 적응형 비용

Bcrypt는 Blowfish 암호의 비싼 키 설정에서 해시를 유도하며, 이를 2^비용 번 반복합니다. 비용을 1 올리면 작업량이 두 배가 되어, 하드웨어가 발전해도 함수가 무차별 대입에 대해 계속 느리게 유지됩니다.

128비트 무작위 솔트

각 해시는 16바이트(128비트) 무작위 솔트를 포함하며, 비용 다음에 22자로 Base64 인코딩됩니다. 솔트는 모든 해시를 고유하게 만들어, 동일한 비밀번호라도 다이제스트를 공유하지 않고 레인보우 테이블이 통하지 않게 합니다.

자기 기술적인 60자 형식

출력은 $버전$비용$솔트+다이제스트 — 검증에 필요한 모든 것을 담은 고정 60자 문자열입니다. 별도의 솔트 열이나 매개변수 저장소가 필요하지 않습니다.

72바이트 비밀번호 제한

Bcrypt는 비밀번호의 처음 72바이트만 해시하며, 그 이후는 조용히 무시됩니다. 매우 긴 패스프레이즈의 경우 bcrypt 전에 미리 해시(예: SHA-256)하는 것이 흔한 완화책입니다.

복호화가 아니라 검증

Bcrypt는 단방향입니다. 검증은 저장된 해시에서 파싱한 솔트와 비용을 사용해 후보 비밀번호에 대해 해시를 다시 실행한 뒤, 다이제스트를 상수 시간으로 비교합니다. 평문을 복구하는 연산은 존재하지 않습니다.

정직성 참고 및 주의사항

해시는 로컬에서 계산되며 실제 시스템과 대조되지 않습니다. 복사한 해시와 입력한 모든 비밀번호는 클립보드와 브라우저 메모리에 남으므로 — 비밀로 취급하고, 운영 환경에 붙여 넣은 뒤에는 클립보드를 비우세요.

모범 사례

비용 12 이상 사용

비용 12는 오늘날의 기준선입니다. 로그인 지연이 허용 범위에 머무는 한 민감한 시스템에서는 14까지 올리세요. 주기적으로 재평가하세요 — 5년 전에 충분히 느렸던 것이 오늘은 공격하기 저렴합니다.

평문을 절대 저장하거나 로깅하지 않기

원래 비밀번호가 아니라 bcrypt 해시만 저장하고, 비밀번호를 로그와 오류 메시지에서 배제하세요. 평문이 함께 유출되면 bcrypt의 가치는 모두 사라집니다.

솔트는 bcrypt에 맡기기

Bcrypt가 안전한 무작위 솔트를 생성해 포함시켜 줍니다. 직접 만든 고정 솔트를 제공하거나 재사용하지 마세요 — 해시마다의 무작위 솔트가 바로 레인보우 테이블을 무력화하는 요소입니다.

72바이트 제한 유의

긴 패스프레이즈를 허용한다면 bcrypt가 72바이트 이후를 무시한다는 점을 기억하세요. 매우 긴 입력을 완전히 다뤄야 한다면 SHA-256으로 미리 해시하거나 Argon2id를 검토하세요.

Bcrypt 생성기 FAQ