bcrypt Nedir?
İngilizce: bcrypt
bcrypt, parolaları salt ve ayarlanabilir maliyetle hash'leyerek sızıntı sonrası kaba kuvvet saldırısını zorlaştırır.
bcrypt Nedir?
bcrypt, kullanıcı parolalarını veritabanında düz metin olarak saklamamak için kullanılan parola hashleme algoritmasıdır. Şifreleme değildir; doğru parola girildiğinde eski parolayı geri çözmek yerine aynı işlem tekrar çalıştırılır ve hash karşılaştırılır.
Nasıl Çalışır?
bcrypt her parola için benzersiz salt üretir ve hesaplamayı bilerek yavaşlatan bir maliyet katsayısı kullanır. Salt, aynı parolaya sahip iki kullanıcının hash değerlerinin farklı görünmesini sağlar. Maliyet katsayısı arttıkça hash üretmek daha uzun sürer; bu da sızıntı sonrası milyonlarca parola denemesini pahalı hale getirir.
Parola doğrulamada sistem kullanıcının girdiği parolayı aynı salt ve maliyetle işler, çıkan hash kayıtlı değerle eşleşirse girişe izin verir.
İş Dünyasında Kullanımı
Üyelik sistemi, yönetici paneli, bayi portalı veya SaaS ürününde parola saklanıyorsa düz metin veya hızlı genel amaçlı hash algoritmaları kabul edilebilir değildir. bcrypt gibi parola odaklı algoritmalar, veri sızıntısı yaşansa bile saldırganın parolaları topluca çözmesini zorlaştırır. Hashing genel kavramdır; bcrypt bu kavramın parola güvenliği için tasarlanmış özel uygulamasıdır.
Güvenli parola saklama; güçlü reset akışı, çok faktörlü kimlik doğrulama, rate limit ve gizli anahtar yönetimiyle birlikte düşünülmelidir.