bcryptbcrypt

$2b$12$LQv3c1yqBWVHxkd0LHAkCOYz6TtxMQJqhN8/LewdBdXIG6WFPM0zm
│   │  │                              │
│   │  └── 솔트 (22자, Base64)        └── 해시값 (31자)
│   └────── cost factor (라운드 수: 2^12 = 4096회 반복)
└────────── 버전 ($2b = bcrypt v2b)

사용자1: bcrypt("password123") → $2b$12$ABC...xyz  ← 솔트 ABC
사용자2: bcrypt("password123") → $2b$12$DEF...uvw  ← 솔트 DEF

같은 비밀번호라도 결과가 완전히 다름
→ 레인보우 테이블 공격 무력화

cost = 10  →  2^10 = 1,024번 반복
cost = 12  →  2^12 = 4,096번 반복  (권장)
cost = 14  →  2^14 = 16,384번 반복 (고보안)

cost가 1 증가할 때마다 계산 시간 2배 증가
→ 하드웨어가 빨라져도 cost를 높여 동일한 보안 유지

# Python (bcrypt 라이브러리)
import bcrypt

# 비밀번호 해싱
password = b"my_password"
hashed = bcrypt.hashpw(password, bcrypt.gensalt(rounds=12))
# b'$2b$12$...'

# 검증
bcrypt.checkpw(password, hashed)   # True
bcrypt.checkpw(b"wrong", hashed)   # False

// Node.js (bcryptjs)
const bcrypt = require('bcryptjs');

// 해싱
const hash = await bcrypt.hash('my_password', 12);  // cost=12

// 검증
const isValid = await bcrypt.compare('my_password', hash);  // true

// Spring Security (Java)
BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(12);
String hash = encoder.encode("my_password");
encoder.matches("my_password", hash);  // true

# ✗ 잘못된 방법 — SHA-256은 비밀번호에 부적합
import hashlib
hashed = hashlib.sha256(password.encode()).hexdigest()

# ✗ 잘못된 방법 — 솔트 없이 저장
hashed = hashlib.md5(password).hexdigest()

# ✓ 올바른 방법 — bcrypt 사용
import bcrypt
hashed = bcrypt.hashpw(password.encode(), bcrypt.gensalt(12))