bcrypt: Por Que Continua Sendo o Padrão Ouro
Armazenar senhas como texto plano é pecado capital. MD5 ou SHA-256 também não servem — são feitos para serem rápidos, que é exatamente o que você não quer para senhas.
O Problema dos Hashes Rápidos
Uma GPU moderna computa ~40 bilhões de hashes MD5/segundo vs ~13.000 bcrypt/segundo. Para login normal, a diferença é imperceptível. Para um atacante, é a diferença entre horas e séculos.
Como bcrypt Funciona
Baseado na cifra Blowfish. O fator de custo (cost) determina quantas rodadas de hashing. Cada incremento dobra o tempo. Cost 12 é o sweet spot em 2026.
O Formato do Hash
O salt está embutido na saída — não precisa armazenar separadamente. Cada senha gera um salt único.
Erros Comuns
Truncamento em 72 bytes, cost muito baixo, implementar do zero em vez de usar biblioteca.
Experimente: Gerador bcrypt — hash de senhas com cost configurável.