Calculadora de costo de bcrypt

Preguntas frecuentes

¿Qué factor de costo debo usar hoy?

Un objetivo común es 100-300 ms por hash, lo que corresponde aproximadamente al costo 12-14 en hardware de servidor moderno. Haz benchmark en tu entorno real y elige el costo más alto que tu flujo de login pueda absorber.

¿Debo usar bcrypt o Argon2?

Argon2id es la recomendación actual de mejores prácticas porque es duro en memoria, mucho más resistente a ataques de GPU y ASIC. Para sistemas nuevos, prefiere Argon2id.

¿Cómo actualizo los hashes de bcrypt almacenados a un costo mayor?

No puedes actualizar un hash sin el texto original. El enfoque estándar es re-hashear en el próximo inicio de sesión exitoso con el nuevo factor de costo.

¿Por qué bcrypt resiste los ataques de GPU?

El esquema de clave de Blowfish requiere accesos frecuentes a memoria pequeña que no se adapta bien a las arquitecturas de GPU, que sobresalen en operaciones matemáticas paralelas masivas.

Cortesía de AllCalculators.io
Calculadoras en línea gratuitas para el día a día. Sin registro.

Estimaciones solo con fines informativos.

Aviso importante: Estimaciones solo con fines informativos.

Esta calculadora ofrece estimaciones con fines informativos. Los resultados se basan en supuestos y pueden no reflejar resultados reales. Consulta a profesionales calificados en las áreas correspondientes antes de tomar decisiones importantes basadas en estos resultados.

Se requiere JavaScript para usar la calculadora interactiva de arriba. Las preguntas y respuestas a continuación se pueden leer sin JavaScript.

Cómo funciona

Bcrypt es una función de hash de contraseñas deliberadamente lenta diseñada para resistir ataques de fuerza bruta. Su factor de costo (también llamado factor de trabajo o rondas) es un entero entre 4 y 31 que controla cuánto trabajo requiere cada hash: el bucle interno de configuración de clave de Blowfish ejecuta 2^costo iteraciones. Aumentar el costo en uno duplica el tiempo, lo que mantiene el hash de contraseñas dolorosamente lento para los atacantes que intentan miles de millones de combinaciones mientras sigue siendo aceptable para un endpoint de login que procesa un hash por inicio de sesión.

Esta calculadora convierte un factor de costo al conteo exacto de iteraciones, estima el tiempo por hash basándose en un benchmark de hashes por segundo en tu hardware específico, proyecta cuántas combinaciones podría intentar un atacante con la misma velocidad por hora y recomienda el factor de costo que se acerca más a un tiempo objetivo razonable por hash (comúnmente 100-300 ms).

Casos de uso

El ajuste del costo de bcrypt es relevante siempre que se almacenen o verifiquen contraseñas:

Seleccionar el factor de costo inicial al desplegar un nuevo sistema de autenticación en hardware conocido

Reajustar el costo después de migrar a servidores más rápidos, ya que el hardware más rápido también lo hace más barato para los atacantes

Justificar un aumento de costo ante las partes interesadas mostrando las combinaciones por hora del atacante en cada nivel

Comparar factores de costo de bcrypt entre entornos (laptop de desarrollo vs. servidor de producción) para evitar publicar un costo inadecuado

Estimar la latencia de login del lado del servidor en cada factor de costo candidato antes de tomar una decisión

Consejos

Haz el benchmark siempre en hardware equivalente al de producción; un portátil de desarrollo rápido da resultados engañosos.

El factor de costo es exponencial, no lineal: pasar de 10 a 13 es 8 veces más trabajo (2³), no un 30% más.

Configurar el costo demasiado alto expone tu endpoint de login a ataques de denegación de servicio mediante hash lento; mantente por debajo de ~500 ms por hash.

Revisa el costo cada pocos años a medida que el hardware mejora; un costo ajustado en 2018 puede ser demasiado barato en 2026.

Bcrypt trunca silenciosamente las contraseñas de más de 72 bytes; considera pre-hashear contraseñas muy largas con SHA-256 antes de bcrypt si tu política permite frases de paso largas.

Preguntas frecuentes

¿Qué factor de costo debo usar hoy?

Un objetivo común es 100-300 ms por hash, lo que corresponde aproximadamente al factor de costo 12-14 en hardware de servidor moderno. Usa esta calculadora para hacer benchmark en tu entorno real y elige el costo más alto cuya latencia pueda absorber tu flujo de login.

¿Debo usar bcrypt o Argon2?

Argon2id es la recomendación de mejores prácticas actual porque es duro en memoria, haciéndolo mucho más resistente a ataques de GPU y ASIC que el diseño de bcrypt, que depende de la CPU. Si estás comenzando un nuevo sistema, prefiere Argon2id. Bcrypt sigue siendo aceptable para sistemas existentes donde el costo de migración es alto.

¿Cómo actualizo los hashes de bcrypt almacenados a un costo mayor?

No puedes actualizar un hash almacenado sin el texto original. El enfoque estándar es re-hashear la contraseña en el próximo inicio de sesión exitoso usando el nuevo factor de costo y reemplazar el hash almacenado. Con el tiempo, los usuarios activos migran; las cuentas inactivas mantienen el costo anterior hasta que vuelvan a iniciar sesión.

¿Por qué bcrypt resiste los ataques de GPU?

El esquema de clave de Blowfish en bcrypt requiere accesos frecuentes a memoria pequeña en un patrón que no se adapta bien a las arquitecturas de GPU, que sobresalen en operaciones matemáticas paralelas masivas. Por eso el rendimiento efectivo de bcrypt en una GPU es solo moderadamente mayor que en una CPU.

Calculadora de costo de bcrypt

Preguntas frecuentes

Calculadoras de Herramientas para desarrolladores relacionadas