Was ist der "Cost-Factor"?

**Die Zahl nach `$2b$`**, z. B. **`$2b$12$`** bedeutet Cost = 12. Das sind **2^cost Hash-Runden**. Cost 10 = 1024 Runden, 12 = 4096, 14 = 16384. **2026er Standard**: **12-13** (~250 ms pro Hash, akzeptable Login-Latenz, aber brutal für einen Angreifer mit Milliarden Versuchen).

Warum liefert dasselbe Passwort unterschiedliche Hashes?

Weil bcrypt ein **zufälliges Salt** hinzufügt (16 Bytes = 22 Zeichen in bcrypt-Base64). Der Hash enthält **Salt + Ergebnis**. Der Verifier extrahiert das Salt, hasht das Passwort damit und vergleicht. **Das blockiert Rainbow Tables**.

`$2a$` vs. `$2b$` vs. `$2y$`?

Drei Präfix-Varianten: - **`$2a$`**: Originalversion (2010) - **`$2b$`**: 2014 gefixt (Bug bei Passwörtern >72 Bytes) - **`$2y$`**: PHP-spezifische Variante von 2011, heute ein Alias für `$2b$` **Neue Systeme nutzen `$2b$`**. Der Verifier akzeptiert jede Variante.

Passwort >72 Zeichen, ein Problem?

**Klassisches bcrypt schneidet bei 72 Bytes ab**. Daher liefern "passwortA" + 64 zufällige Zeichen + irgendwas **denselben Hash** wie "passwortA" + 64 Zeichen. In der Praxis nutzt niemand Passwörter >72 Zeichen, aber **wenn dein System vor-hasht** (z. B. SHA-256 → bcrypt), umgehst du dieses Limit.

Warum dauert die Verifizierung ein paar hundert ms?

Weil bcrypt **absichtlich langsam** ist. Der Cost-Factor steuert es, jede Runde ist ein **Blowfish-KDF**. Cost 12 = ~250 ms auf einer modernen CPU. **Ein Feature, kein Bug**: ein Angreifer, der Milliarden Passwörter durchprobiert, zahlt denselben Preis = **Defense-in-Depth**, auch nach einem Datenbank-Leak.

**Argon2id** ist "neuer" (2015, **von OWASP empfohlen** für neue Apps). **Bcrypt** ist "älter", aber **battle-tested** (seit 1999). **Praxis 2026**: **argon2id** für neue Systeme, **bcrypt** für Legacy. **Beide sind sicher**; beide Bibliotheken sind reif.

Wie erzeuge ich einen bcrypt-Hash?

Wir haben einen [Hash-Generator](/de/passwort-hash), der **30+ Algorithmen** unterstützt, inklusive **bcrypt mit konfigurierbarem Cost**. Dieser Verifier ist das **Pendant**: dort generieren, hier verifizieren.

bcrypt prüfen - kostenlos

bcrypt-Hash prüfen

Passwort und Hash einfügen - sofort die Antwort. Nichts verlässt deinen Browser.

Alles läuft lokal. Passwort und Hash verlassen deinen Browser nie.

Passt dieses Passwort zu diesem bcrypt-Hash?

Tippe das Original-Passwort plus den bcrypt-Hash ("$2b$12$...") ein, und das Tool liefert Match oder Mismatch.

Alles läuft lokal, Passwort und Hash verlassen deinen Browser nie.

Für Entwickler hilfreich beim Testen von Auth-Integrationen, Debuggen von Login-Problemen oder Prüfen von Datenbank-Exports. Unterstützt "$2a$", "$2b$", "$2y$", also alle modernen bcrypt-Ausgaben (Node bcryptjs, Python passlib, Ruby bcrypt-ruby, Java jBcrypt, PHP password_hash).

So nutzt du das Tool

Tippe das Passwort, das du prüfen willst, ins "Passwort"-Feld. Augensymbol zum Ein-/Ausblenden.

Füge den bcrypt-Hash ein, er muss mit `$2a$`, `$2b$` oder `$2y$` anfangen und genau 60 Zeichen lang sein.

Klick auf "Verifizieren". Das Tool ruft intern bcrypt.compare auf, hasht das Passwort mit dem aus dem Hash extrahierten Salt und vergleicht.

Ergebnis: grünes "Match" mit dem Cost-Factor oder rotes "Mismatch". Cost-Factor (4-15) = Anzahl der Hash-Runden (mehr = langsamer, sicherer).

Wann das hilfreich ist

Fünf typische Situationen, in denen ein bcrypt-Verifier dir Stunden im Logfile erspart:

Auth-Debugging. Ein Nutzer kann sich nicht einloggen, obwohl er das Passwort "definitiv" kennt; prüfe, ob der Datenbank-Hash passt.
Datenbank-Migration. Nach dem Import aus einem anderen System verifizieren, ob die Hashes korrekt übernommen wurden.
Code-Review / Pentest. Prüfen, ob die App einen ausreichend hohen Cost-Factor nutzt (10+ absolutes Minimum in 2026, 12+ empfohlen).
Wiederherstellung. Ein altes Test-Passwort, das du vergessen hast, aber den Hash hast; Varianten durchprobieren.
Schulung. Sehen, wie bcrypt für dasselbe Passwort unterschiedliche Hashes erzeugt (zufälliges Salt), aber alle zum Original passen.

Zum Erzeugen eines bcrypt-Hashes nutze unseren Hash-Generator, der bcrypt mit konfigurierbarem Cost-Factor anbietet. Dort generieren, hier verifizieren.

Fragen und Antworten

Nein. Die Verifizierung läuft im Browser: bcryptjs (dieselbe Lib, die Node.js nutzt) wird lokal aufgerufen. Du kannst das in DevTools → Netzwerk prüfen, kein Upload.

Passt dieses Passwort zu diesem bcrypt-Hash?

Tippe das Original-Passwort plus den bcrypt-Hash ("$2b$12$...") ein, und das Tool liefert Match oder Mismatch.

Alles läuft lokal, Passwort und Hash verlassen deinen Browser nie.

So nutzt du das Tool

Tippe das Passwort, das du prüfen willst, ins "Passwort"-Feld. Augensymbol zum Ein-/Ausblenden.

Füge den bcrypt-Hash ein, er muss mit `$2a$`, `$2b$` oder `$2y$` anfangen und genau 60 Zeichen lang sein.

Klick auf "Verifizieren". Das Tool ruft intern bcrypt.compare auf, hasht das Passwort mit dem aus dem Hash extrahierten Salt und vergleicht.

Ergebnis: grünes "Match" mit dem Cost-Factor oder rotes "Mismatch". Cost-Factor (4-15) = Anzahl der Hash-Runden (mehr = langsamer, sicherer).

Wann das hilfreich ist

Fünf typische Situationen, in denen ein bcrypt-Verifier dir Stunden im Logfile erspart:

Auth-Debugging. Ein Nutzer kann sich nicht einloggen, obwohl er das Passwort "definitiv" kennt; prüfe, ob der Datenbank-Hash passt.
Datenbank-Migration. Nach dem Import aus einem anderen System verifizieren, ob die Hashes korrekt übernommen wurden.
Code-Review / Pentest. Prüfen, ob die App einen ausreichend hohen Cost-Factor nutzt (10+ absolutes Minimum in 2026, 12+ empfohlen).
Wiederherstellung. Ein altes Test-Passwort, das du vergessen hast, aber den Hash hast; Varianten durchprobieren.
Schulung. Sehen, wie bcrypt für dasselbe Passwort unterschiedliche Hashes erzeugt (zufälliges Salt), aber alle zum Original passen.

Zum Erzeugen eines bcrypt-Hashes nutze unseren Hash-Generator, der bcrypt mit konfigurierbarem Cost-Factor anbietet. Dort generieren, hier verifizieren.

Fragen und Antworten

Nein. Die Verifizierung läuft im Browser: bcryptjs (dieselbe Lib, die Node.js nutzt) wird lokal aufgerufen. Du kannst das in DevTools → Netzwerk prüfen, kein Upload.

bcrypt prüfen

Passt dieses Passwort zu diesem bcrypt-Hash?

So nutzt du das Tool

Wann das hilfreich ist

Fragen und Antworten

Passende Tools

Passwort-Hashes: MD5, SHA, bcrypt

.htpasswd Datei-Generator

JWT Decoder

bcrypt prüfen

Passt dieses Passwort zu diesem bcrypt-Hash?

So nutzt du das Tool

Wann das hilfreich ist

Fragen und Antworten

Passende Tools

Passwort-Hashes: MD5, SHA, bcrypt

.htpasswd Datei-Generator

JWT Decoder