C'est quoi le « facteur de coût » ?

**Le nombre après `$2b$`**, par exemple **`$2b$12$`** signifie cost = 12. C'est-à-dire **2^cost rounds de hashing**. Cost 10 = 1024 rounds, 12 = 4096, 14 = 16384. **Standard 2026** : **12-13** (environ 250 ms par hash, latence de login acceptable mais brutale pour un attaquant avec des milliards de tentatives).

Pourquoi le même mot de passe donne des hashs différents ?

Parce que bcrypt ajoute un **salt aléatoire** (16 octets = 22 caractères en bcrypt-base64). Le hash contient **salt + résultat**. Le vérificateur extrait le salt, hash le mot de passe avec ce salt, compare. **Ça bloque les rainbow tables**.

`$2a$` vs `$2b$` vs `$2y$` ?

Trois variantes de préfixe : - **`$2a$`** : version originale (2010) - **`$2b$`** : corrigé en 2014 (bug avec mots de passe >72 octets) - **`$2y$`** : variante spécifique PHP de 2011, aujourd'hui un alias pour `$2b$` **Les nouveaux systèmes utilisent `$2b$`**. Le vérificateur accepte toutes les variantes.

Mot de passe >72 caractères, problème ?

**Le bcrypt classique tronque à 72 octets**. Donc « passwordA » + 64 caractères aléatoires + n'importe quoi = **le même hash** que « passwordA » + 64 caractères. En pratique personne n'utilise des mots de passe >72 caractères, mais **si ton système pré-hash** (par exemple SHA-256 → bcrypt), tu contournes cette limite.

Pourquoi la vérification prend quelques centaines de ms ?

Parce que bcrypt est **VOLONTAIREMENT lent**. Le facteur de coût le règle, chaque round est un **KDF Blowfish**. Cost 12 = environ 250 ms sur un CPU moderne. **C'est une fonctionnalité, pas un bug** : un attaquant qui teste des milliards de mots de passe paie le même coût = **défense en profondeur** même après une fuite de base.

**Argon2id** est « plus récent » (2015, **recommandé par l'OWASP** pour les nouvelles applis). **Bcrypt** est « plus vieux » mais **éprouvé sur le terrain** (depuis 1999). **Pratique 2026** : **argon2id** pour les nouveaux systèmes, **bcrypt** pour le legacy. **Les deux sont sûrs** ; les deux bibliothèques sont matures.

Comment je génère un hash bcrypt ?

On a un [générateur de hash](/fr/hachage-de-mot-de-passe) qui supporte **plus de 30 algorithmes**, dont **bcrypt avec cost configurable**. Ce vérificateur est le **compagnon** : génère là-bas, vérifie ici.

Vérificateur bcrypt - gratuit

Vérification de hash bcrypt

Colle un mot de passe et un hash, obtiens une réponse instantanée. Rien ne quitte ton navigateur.

Tout tourne localement. Mot de passe et hash ne quittent jamais ton navigateur.

Ce mot de passe correspond-il à ce hash bcrypt ?

Tape le mot de passe d'origine + le hash bcrypt (« $2b$12$... »), et l'outil renvoie correspondance ou non-correspondance.

Tout tourne en local : le mot de passe et le hash ne quittent jamais ton navigateur.

Utile pour les devs : tester des intégrations auth, debugger des problèmes de login, vérifier des exports de bases de données. Supporte « $2a$ », « $2b$ », « $2y$ », toutes les sorties bcrypt modernes (Node bcryptjs, Python passlib, Ruby bcrypt-ruby, Java jBcrypt, PHP password_hash).

Comment l'utiliser

Tape le mot de passe à tester dans le champ « Password ». Icône œil pour afficher/masquer.

Colle le hash bcrypt : il doit commencer par `$2a$`, `$2b$` ou `$2y$`, exactement 60 caractères.

Clique sur « Vérifier ». L'outil appelle bcrypt.compare en interne, hash le mot de passe avec le salt extrait du hash et compare.

Résultat : vert « Correspondance » avec le facteur de coût, ou rouge « Non-correspondance ». Le facteur de coût (4 à 15) = nombre de rounds de hashing (plus = plus lent, plus sûr).

Quand c'est utile

Cinq situations typiques où un vérificateur bcrypt t'évite des heures à fouiller les logs :

Debug d'auth. Un utilisateur n'arrive pas à se connecter alors qu'il connaît « vraiment » son mot de passe ; vérifie si le hash en base correspond.
Migrations de bases de données. Après import depuis un autre système, vérifie que les hashs sont bien passés.
Code review / pen-testing. Vérifie si l'appli utilise un facteur de coût suffisamment élevé (10 et plus minimum absolu en 2026, 12 et plus recommandé).
Récupération. Un vieux mot de passe de test que tu as oublié mais dont tu as le hash ; teste les variantes.
Pédagogie. Vois comment bcrypt produit des hashs différents pour le même mot de passe (salt aléatoire), mais qui tous correspondent à l'original.

Pour générer un hash bcrypt, utilise notre générateur de hash : il propose bcrypt avec facteur de coût configurable. Génère là-bas, vérifie ici.

Questions et réponses

Non. La vérification tourne dans le navigateur : bcryptjs (la même lib que Node.js utilise) appelée en local. Tu peux vérifier dans DevTools → Network, aucun upload.

Ce mot de passe correspond-il à ce hash bcrypt ?

Tape le mot de passe d'origine + le hash bcrypt (« $2b$12$... »), et l'outil renvoie correspondance ou non-correspondance.

Tout tourne en local : le mot de passe et le hash ne quittent jamais ton navigateur.

Comment l'utiliser

Tape le mot de passe à tester dans le champ « Password ». Icône œil pour afficher/masquer.

Colle le hash bcrypt : il doit commencer par `$2a$`, `$2b$` ou `$2y$`, exactement 60 caractères.

Clique sur « Vérifier ». L'outil appelle bcrypt.compare en interne, hash le mot de passe avec le salt extrait du hash et compare.

Quand c'est utile

Cinq situations typiques où un vérificateur bcrypt t'évite des heures à fouiller les logs :

Debug d'auth. Un utilisateur n'arrive pas à se connecter alors qu'il connaît « vraiment » son mot de passe ; vérifie si le hash en base correspond.
Migrations de bases de données. Après import depuis un autre système, vérifie que les hashs sont bien passés.
Code review / pen-testing. Vérifie si l'appli utilise un facteur de coût suffisamment élevé (10 et plus minimum absolu en 2026, 12 et plus recommandé).
Récupération. Un vieux mot de passe de test que tu as oublié mais dont tu as le hash ; teste les variantes.
Pédagogie. Vois comment bcrypt produit des hashs différents pour le même mot de passe (salt aléatoire), mais qui tous correspondent à l'original.

Pour générer un hash bcrypt, utilise notre générateur de hash : il propose bcrypt avec facteur de coût configurable. Génère là-bas, vérifie ici.

Questions et réponses

Non. La vérification tourne dans le navigateur : bcryptjs (la même lib que Node.js utilise) appelée en local. Tu peux vérifier dans DevTools → Network, aucun upload.

Vérificateur bcrypt

Ce mot de passe correspond-il à ce hash bcrypt ?

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Hash de mots de passe : MD5, SHA, bcrypt

Générateur .htpasswd

Décodeur JWT

Vérificateur bcrypt

Ce mot de passe correspond-il à ce hash bcrypt ?

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Hash de mots de passe : MD5, SHA, bcrypt

Générateur .htpasswd

Décodeur JWT