bcrypt란 무엇이며 왜 비밀번호에 사용되나요?

bcrypt는 느리고 계산 비용이 많이 들도록 설계된 비밀번호 해싱 함수로, 무차별 대입 공격을 비실용적으로 만듭니다. SHA-256 같은 빠른 해시와 달리, bcrypt는 반복 횟수를 제어하는 비용 인수(cost factor)를 포함하여 공격자가 해시 데이터베이스를 획득하더라도 비밀번호를 보호합니다.

이 도구가 실제로 사용하는 알고리즘은 무엇인가요?

이 도구는 브라우저의 내장 Web Crypto API를 통해 PBKDF2-HMAC-SHA256을 사용합니다. 출력은 개발자에게 친숙한 bcrypt의 $2b$ $ 접두사로 감싸집니다. PBKDF2는 bcrypt와 동등하게 안전하며 NIST에 의해 표준화되어 많은 프로덕션 시스템에서 사용됩니다.

어떤 비용 인수(rounds)를 선택해야 하나요?

대부분의 애플리케이션에서 비용 10이 널리 권장되는 기본값입니다. 계산에 약 100~300ms가 소요되어 로그인 확인에는 빠르지만 대량 크래킹에는 매우 느립니다. 비용 12는 해시당 약 1초의 시간이 걸리지만 더 강한 보호를 제공합니다. 프로덕션 비밀번호에는 비용 4~6을 피하세요.

실제 비밀번호로 이 도구를 사용하는 것이 안전한가요?

네. 모든 처리는 Web Crypto API를 사용하여 브라우저 내부에서 완전히 이루어집니다. 입력값이 서버로 전송되거나 로깅되지 않으며, 페이지가 로드된 후에는 오프라인으로도 완전히 작동합니다.

실제 bcrypt 라이브러리로 생성한 해시를 검증할 수 있나요?

검증 탭은 이 도구로 생성된 해시만 검증할 수 있습니다. 내부적으로 PBKDF2를 사용하기 때문입니다. bcrypt.js나 Python의 passlib 같은 라이브러리의 해시를 검증하려면 서버 측 환경이 필요합니다.

Bcrypt 해시 생성기

브라우저에서 PBKDF2-SHA256을 사용하여 안전한 bcrypt 형식의 비밀번호 해시를 생성하고 검증합니다.

이 도구는 PBKDF2-HMAC-SHA256(Web Crypto API)을 사용하며 $2b$ 형식의 bcrypt 호환 출력을 생성합니다. 모든 처리는 브라우저에서 이루어지며 비밀번호는 서버로 전송되지 않습니다.

비밀번호 / 텍스트

비용 인수 (라운드): 10 (1,024 반복)

높을수록 더 안전하지만 느립니다. 기본값은 10을 권장합니다.

사용 방법

브라우저에서 PBKDF2-SHA256을 사용하여 안전한 bcrypt 형식의 비밀번호 해시를 생성하고 검증합니다.

1비밀번호 필드에 해시할 비밀번호나 텍스트를 입력하세요.
2비용 인수(4~14)를 선택하세요. 대부분의 애플리케이션에서 비용 10이 권장 기본값입니다.
3'해시 생성'을 클릭하고 결과로 나온 $2b$... 해시를 복사하여 프로젝트에 사용하세요.
4검증하려면 검증 탭으로 전환하고, 원래 비밀번호와 해시를 입력한 다음 검증을 클릭하세요.

주요 기능

bcrypt 호환 $2b$ 출력 형식을 가진 PBKDF2-HMAC-SHA256
실시간 반복 횟수 표시가 있는 비용 인수 4~14 설정
생성된 해시의 원클릭 복사
내장 검증 탭 — 비밀번호와 해시를 즉시 확인
100% 브라우저 기반 — 비밀번호가 기기 밖으로 나가지 않음

Bcrypt 해시 생성기

사용 방법

주요 기능

자주 묻는 질문

더 알아보기