Co to jest "cost factor"?

**Liczba w hashu po `$2b$`**, np. **`$2b$12$`** oznacza cost = 12. To **2^cost rund hashowania**. Cost 10 = 1024 rund, 12 = 4096, 14 = 16384. **2026 standard**: **12-13** (~250 ms na hash, akceptowalna latencja przy logowaniu, ale brutalne dla atakującego z miliardami prób).

Czemu to samo hasło daje różne hashe?

Bo bcrypt dodaje **random salt** (16 bajtów = 22 znaki w base64-bcrypt). Hash zawiera **salt + wynik**. Weryfikator wyodrębnia salt z hashu, oblicza hash hasła z tym saltem, porównuje. **To zabezpiecza przed rainbow tables**.

`$2a$` vs `$2b$` vs `$2y$`?

Trzy warianty prefixu: - **`$2a$`**: oryginalna wersja (2010) - **`$2b$`**: poprawiona w 2014 (fix bug w obsłudze haseł >72 bajty) - **`$2y$`**: PHP-specific variant z 2011, dziś alias dla `$2b$` **Wszystkie nowe systemy używają `$2b$`**. Weryfikator akceptuje wszystkie warianty.

Hasło ma >72 znaki, problem?

**Klasyczne bcrypt obcina do 72 bajtów**. To znaczy: "passwordA" + 64 dowolne znaki + cokolwiek = **ten sam hash** co "passwordA" + 64 znaki. W praktyce nikt nie używa haseł >72 znaki, ale **jeśli system pre-hashuje** (np. SHA-256 → bcrypt), to obejście tego limitu.

Czemu weryfikacja trwa kilkaset ms?

Bo bcrypt **CELOWO jest wolny**. Wynika z cost factor, każda runda to **KDF Blowfish**. Cost 12 = ~250 ms na nowoczesnym CPU. **To feature, nie bug**: atakujący próbujący miliardów haseł ma taki sam koszt = **defense-in-depth** nawet jeśli ktoś wykradnie tablicę użytkowników.

**Argon2id** jest "nowszy" (2015, **OWASP-recommended** dla nowych aplikacji). **Bcrypt** jest "starszy", ale **battle-tested** (od 1999). **Praktyka 2026**: **argon2id** dla nowych systemów, **bcrypt** dla legacy. **Oba są bezpieczne**; obie biblioteki są dojrzałe.

Jak wygenerować hash bcrypt?

Mamy [generator hash hasła](/pl/hashe-hasla), który obsługuje **30+ algorytmów**, w tym **bcrypt z konfigurowalnym cost factor**. Ten weryfikator to **companion-tool**: tam generujesz, tu weryfikujesz.

YourDevToolsPro

Weryfikacja hasła bcrypt

Sprawdź, czy hasło pasuje do hash-a bcrypt. Match lub mismatch w sekundę.

LiveDziała w przeglądarce

Sprawdzanie hash-a bcrypt

Wklej hasło i hash, dostaniesz natychmiast odpowiedź czy pasują. Nic nie wychodzi z Twojej przeglądarki.

Wszystko liczone lokalnie. Hasło ani hash nie wychodzą z przeglądarki.

Czy to hasło pasuje do tego hash-a bcrypt?

Wpisujesz oryginalne hasło + hash bcrypt ("$2b$12$..."), a tool zwraca match albo mismatch.

Wszystko lokalnie, hasło i hash nigdy nie wychodzą z Twojej przeglądarki.

Idealne dla devów: testowanie integracji z auth, debugowanie problemów z logowaniem, weryfikacja eksportu z bazy. Obsługuje warianty "$2a$", "$2b$", "$2y$", wszystkie modern bcrypt produkty (Node bcryptjs, Python passlib, Ruby bcrypt-ruby, Java jBcrypt, PHP password_hash).

Jak korzystać

Wpisz hasło które chcesz przetestować w pole "Hasło". Obok button do podglądu (oko).
Wklej hash bcrypt, musi zaczynać się od `$2a$`, `$2b$` lub `$2y$`, mieć dokładnie 60 znaków.
Klik "Zweryfikuj". Tool wywołuje bcrypt.compare wewnętrznie, oblicza hash hasła z wyodrębnionym z hash-a saltem i porównuje.
Wynik: zielony "Pasuje" z informacją o cost factor, albo czerwony "Nie pasuje". Cost factor (4-15) = liczba rund hashowania (więcej = wolniejsze, ale bezpieczniejsze).

Do czego się przydaje

Pięć typowych sytuacji, w których weryfikator bcrypt oszczędza Ci godzin grzebania w logach:

Debugowanie auth. User nie może się zalogować mimo że "na pewno" zna hasło; sprawdzasz, czy hash w bazie pasuje.
Migracje baz. Po imporcie z innego systemu chcesz sprawdzić, czy hashe zostały prawidłowo przeniesione.
Code review / pen-testing. Testujesz, czy aplikacja używa wystarczająco wysokiego cost factor (10+ to absolutne minimum w 2026, 12+ zalecane).
Recovery. Stare testowe hasło, które zapomniałeś, ale masz hash; możesz spróbować różnych wariantów.
Edukacja. Zobacz że bcrypt z tym samym hasłem zwraca różne hashe (bo random salt), ale wszystkie pasują z oryginałem.

Aby wygenerować hash bcrypt, użyj naszego generatora hashy, ma bcrypt z konfigurowalnym cost factor. Tam generujesz, tu weryfikujesz.

Pytania i odpowiedzi

Nie. Cała weryfikacja w przeglądarce: bcryptjs (ta sama biblioteka co w Node.js) wywoływana lokalnie. Możesz to zweryfikować w DevTools → Network, żaden upload.

Mogą Cię też zainteresować

Powiązane narzędzia

Hashe hasła: MD5, SHA, bcrypt

16 algorytmów skrótów: MD4, MD5, SHA, SHA-3, RIPEMD, MySQL, NTLM, HMAC, bcrypt - z opcjonalnym salt.

Generator pliku .htpasswd

Stwórz wpis user:hash do .htpasswd dla Apache albo Nginx Basic Auth. Bcrypt, SHA, APR1.

Dekoder JWT

Wklej token JWT, zobacz zdekodowany nagłówek, payload i sygnaturę. Czytelny widok claims (iss, sub, exp, iat), wykrywanie wygasłego tokena, brak wysyłania danych.