S
Simple Toolz

Bcrypt Hash Generator: Sichere Passwort-Hashing erklärt

Erfahren Sie, wie Bcrypt-Hashing Passwörter schützt, wie Saltrunden und Kostenfaktoren funktionieren und wie Sie Bcrypt-Hashes sicher im Browser erzeugen.

10. Februar 2026

Was ist Bcrypt-Hashing?

Bcrypt ist eine Passwort-Hashing-Funktion, die 1999 von Niels Provos und David Mazieres auf Basis der Blowfish-Chiffre entwickelt wurde. Im Gegensatz zu allgemeinen Hash-Funktionen wie MD5 oder SHA-256 wurde Bcrypt speziell für die Passwortspeicherung konzipiert. Sein wichtigstes Merkmal ist, dass es absichtlich langsam arbeitet, wodurch Brute-Force-Angriffe rechenintensiv und unpraktisch werden.

Wenn Sie ein Passwort mit Bcrypt hashen, entsteht eine Zeichenkette fester Länge, die nicht umgekehrt werden kann, um das ursprüngliche Passwort preiszugeben. Diese Einweg-Eigenschaft macht Hashing ideal für die Speicherung von Zugangsdaten in Datenbanken.

Warum Bcrypt der Goldstandard für Passwortspeicherung ist

Zahlreiche Datenpannen haben Millionen von Passwörtern offengelegt, die im Klartext oder mit schwachen Hashing-Algorithmen gespeichert waren. Bcrypt behebt die grundlegenden Schwachstellen älterer Ansätze auf mehrere wichtige Weisen:

  • Eingebauter Salt: Jeder Bcrypt-Hash enthält einen einzigartigen zufälligen Salt. Das bedeutet, dass zwei Benutzer mit dem gleichen Passwort völlig unterschiedliche Hashes haben. Dies verhindert Rainbow-Table-Angriffe.
  • Adaptiver Kostenfaktor: Bcrypt verwendet einen konfigurierbaren Arbeitsfaktor (auch Kostenfaktor oder Saltrunden genannt). Eine Erhöhung dieses Wertes verdoppelt die Berechnungszeit, sodass Sie mit fortschreitender Hardware Schritt halten können.
  • Zeiterprobte Sicherheit: Nach mehr als zwei Jahrzehnten bleibt Bcrypt eine empfohlene Wahl von Sicherheitsexperten und Organisationen wie OWASP.

Wie Bcrypt funktioniert: Saltrunden und Kostenfaktor

Der Bcrypt-Algorithmus arbeitet in einem einfachen Prozess. Zunächst wird ein zufälliger 16-Byte-Salt generiert. Dann werden Passwort und Salt kombiniert und durch den Blowfish-Schlüsselplan eine bestimmte Anzahl von Malen verarbeitet, die durch den Kostenfaktor bestimmt wird. Ein Kostenfaktor von 10 bedeutet 2^10 (1.024) Iterationen, während ein Kostenfaktor von 12 2^12 (4.096) Iterationen bedeutet.

Der resultierende Hash-String enthält alle Informationen, die zur Verifizierung benötigt werden: die Algorithmusversion, den Kostenfaktor, den Salt und den Hash selbst.

Den richtigen Kostenfaktor wählen

Der empfohlene Mindestkostenfaktor liegt heute bei 10, aber viele Sicherheitsexperten empfehlen 12 oder höher. Der ideale Wert hängt von Ihrer Server-Hardware ab: Die Hashing-Operation sollte zwischen 250 Millisekunden und einer Sekunde dauern. Zu niedrig und ein Angreifer kann Passwörter schnell durchprobieren; zu hoch und Ihre Benutzer erleben langsame Anmeldezeiten.

So verwenden Sie den Simple-Toolz Bcrypt Generator

Unser Bcrypt-Generator-Tool macht es einfach, sichere Passwort-Hashes direkt in Ihrem Browser zu erstellen:

  • Navigieren Sie zum Bcrypt-Generator-Tool auf Simple-Toolz.
  • Geben Sie das Passwort ein, das Sie hashen möchten.
  • Wählen Sie die gewünschten Saltrunden (Kostenfaktor). Der Standardwert von 10 ist ein guter Ausgangspunkt.
  • Klicken Sie auf Generieren, um Ihren Bcrypt-Hash zu erzeugen.
  • Kopieren Sie den resultierenden Hash für die Verwendung in Ihrer Anwendung oder Datenbank.

Clientseitige Sicherheit

Ein wesentlicher Vorteil unseres Tools ist, dass die gesamte Verarbeitung vollständig in Ihrem Browser stattfindet. Ihr Passwort wird niemals an einen Server übertragen. So können Sie sensible Passwörter sicher hashen, ohne sich Sorgen über Abfangen oder Protokollierung machen zu müssen.

Best Practices für Passwort-Hashing

Neben der Wahl von Bcrypt sollten Sie diese Best Practices befolgen:

  • Speichern Sie niemals Klartext-Passwörter. Hashen Sie Passwörter immer vor dem Speichern in einer Datenbank.
  • Verwenden Sie einen Kostenfaktor von mindestens 10. Erhöhen Sie ihn regelmäßig, wenn Hardware schneller wird.
  • Implementieren Sie kein eigenes Hashing. Verwenden Sie gut getestete Bibliotheken wie bcryptjs.
  • Kombinieren Sie Hashing mit anderen Sicherheitsmaßnahmen. Erzwingen Sie Mindestpasswortlängen, implementieren Sie Rate-Limiting und erwägen Sie Multi-Faktor-Authentifizierung.

Indem Sie diese Richtlinien befolgen und einen zuverlässigen Bcrypt-Generator verwenden, können Sie die Sicherheit des Authentifizierungssystems Ihrer Anwendung erheblich verbessern.