bcryptjs vs argon2 vs bcrypt vs bcrypt-nodejs

パスワードハッシュライブラリ

パスワードハッシュライブラリ

パスワードハッシュライブラリは、ユーザーのパスワードを安全に保存するために使用されるツールです。これらのライブラリは、パスワードをハッシュ化し、データベースに保存する際のセキュリティを強化します。安全なハッシュ化は、データ漏洩が発生した場合でも、ユーザーのパスワードを保護するために重要です。

npmのダウンロードトレンド

3 年

GitHub Starsランキング

統計詳細

パッケージ	ダウンロード数	Stars	サイズ	Issues	公開日時	ライセンス
パッケージ	ダウンロード数	Stars	サイズ	Issues	公開日時	ライセンス
bcryptjs	6,252,722	3,788	112 kB	4	4ヶ月前	BSD-3-Clause
argon2	721,952	2,121	1.03 MB	8	7ヶ月前	MIT
bcrypt	0	7,781	1.11 MB	30	10ヶ月前	MIT
bcrypt-nodejs	0	-	-	-	13年前	-

機能比較: bcryptjs vs argon2 vs bcrypt vs bcrypt-nodejs

セキュリティ

bcryptjs:
Bcryptjsは、ブラウザ環境でも動作するため、クライアントサイドでのパスワードハッシュ化が可能です。これにより、ユーザーのパスワードをサーバーに送信する前にハッシュ化することができ、セキュリティを向上させます。
argon2:
Argon2は、パスワードハッシュのセキュリティを最大化するために設計されています。メモリ、時間、並列度を調整でき、これにより攻撃者のブルートフォース攻撃を防ぎます。特に、Argon2idは、時間とメモリの両方を考慮した設計で、非常に安全です。
bcrypt:
Bcryptは、ハッシュ化の際にソルトを自動的に生成し、パスワードの安全性を向上させます。計算コストを調整することで、ハッシュ化の難易度を上げることができ、セキュリティを強化します。
bcrypt-nodejs:
Bcrypt-nodejsは、C++の依存関係がないため、Node.js環境で簡単に使用できますが、パフォーマンスは他の実装に比べて劣ります。

パフォーマンス

bcryptjs:
Bcryptjsは、ブラウザ環境での使用に最適化されており、軽量なアプリケーションでのパフォーマンスを重視しています。
argon2:
Argon2は、メモリ使用量を調整できるため、ハードウェアの能力に応じて最適化できます。これにより、特に高負荷の環境でも良好なパフォーマンスを発揮します。
bcrypt:
Bcryptは、ハッシュ化に一定の時間がかかりますが、計算コストを調整することで、パフォーマンスとセキュリティのバランスを取ることができます。
bcrypt-nodejs:
Bcrypt-nodejsは、JavaScriptで実装されているため、C++の実装に比べてパフォーマンスが劣りますが、環境に依存せずに動作します。

互換性

bcryptjs:
Bcryptjsは、Node.jsとブラウザの両方で動作するため、クロスプラットフォームのアプリケーションに適しています。
argon2:
Argon2は、最新のアルゴリズムであるため、古いシステムとの互換性がない場合がありますが、セキュリティが最優先の場合に選択するのが良いでしょう。
bcrypt:
Bcryptは、広く使用されているため、多くのプロジェクトやライブラリとの互換性があります。特に、既存のシステムに統合する際に適しています。
bcrypt-nodejs:
Bcrypt-nodejsは、Node.js環境で動作するため、特にNode.jsプロジェクトに適しています。

導入の容易さ

bcryptjs:
Bcryptjsは、ブラウザ環境でも使用できるため、特にクライアントサイドでの導入が容易です。
argon2:
Argon2は、設定がやや複雑ですが、セキュリティを重視するプロジェクトにおいては導入する価値があります。
bcrypt:
Bcryptは、シンプルなAPIを提供しており、導入が容易です。多くのドキュメントやサポートが存在します。
bcrypt-nodejs:
Bcrypt-nodejsは、C++の依存関係がないため、Node.js環境での導入が簡単です。

メンテナンス

bcryptjs:
Bcryptjsは、軽量であり、ブラウザ環境でも動作するため、メンテナンスが容易です。
argon2:
Argon2は、最新のアルゴリズムであり、活発にメンテナンスされています。セキュリティの観点からも、定期的な更新が行われています。
bcrypt:
Bcryptは、広く使用されているため、コミュニティによるサポートが充実しており、メンテナンスも行き届いています。
bcrypt-nodejs:
Bcrypt-nodejsは、C++の依存関係がないため、メンテナンスが容易ですが、パフォーマンスは他の実装に劣ります。

選び方: bcryptjs vs argon2 vs bcrypt vs bcrypt-nodejs

bcryptjs:
Bcryptjsは、bcryptのJavaScript実装で、特にブラウザ環境での使用に適しています。Node.jsとブラウザの両方で動作し、簡単に導入できるため、軽量なアプリケーションに適しています。
argon2:
Argon2は、最新のパスワードハッシュアルゴリズムであり、特にセキュリティが重視されるアプリケーションに適しています。メモリ使用量や計算負荷を調整できるため、攻撃者によるブルートフォース攻撃に対して強い耐性を持っています。
bcrypt:
Bcryptは、広く使用されているパスワードハッシュライブラリで、セキュリティとパフォーマンスのバランスが取れています。特に、既存のプロジェクトやライブラリとの互換性が重要な場合に選択するのが良いでしょう。
bcrypt-nodejs:
Bcrypt-nodejsは、Node.js環境で動作するbcryptの純粋なJavaScript実装です。C++の依存関係がないため、環境に依存せずに動作しますが、パフォーマンスはbcryptに比べて劣ります。

人気の比較

bcryptjsと類似したnpmパッケージ

bcryptjsは、Node.js環境でパスワードをハッシュ化するためのライブラリです。このライブラリは、bcryptアルゴリズムを実装しており、パスワードのセキュリティを強化するために広く使用されています。bcryptjsは純粋なJavaScriptで書かれているため、ネイティブのC++バージョンに依存せず、さまざまな環境で簡単に使用できます。しかし、bcryptjsの他にも、パスワードハッシュ化のための代替ライブラリがいくつか存在します。以下にいくつかの選択肢を紹介します。

argon2は、最新のパスワードハッシュ化アルゴリズムであり、セキュリティの観点から非常に優れています。argon2は、特にGPU攻撃に対して強力であり、メモリ使用量や計算コストを調整することができるため、攻撃者がハッシュを解読するのを難しくします。セキュリティが最優先されるアプリケーションにおいて、argon2は非常に推奨される選択肢です。
bcryptは、bcryptjsの元となるライブラリで、C++で実装されています。これにより、パフォーマンスが向上し、ハッシュ化の速度が速くなります。ただし、C++のビルドが必要なため、環境によっては導入が難しい場合があります。パフォーマンスが重要な要素である場合、bcryptは良い選択肢です。
bcrypt-nodejsは、bcryptのJavaScript実装ですが、bcryptjsと同様に、C++の依存関係がありません。bcrypt-nodejsは、bcryptの機能を提供しつつ、Node.js環境での使用を容易にします。ただし、メンテナンスが行われていないため、最新のセキュリティ基準に適合していない可能性があります。

これらのライブラリの比較については、以下のリンクを参照してください: bcryptjs vs argon2 vs bcrypt vs bcrypt-nodejsの比較。

argon2と類似したnpmパッケージ

argon2は、パスワードのハッシュ化に使用される最先端のアルゴリズムです。このライブラリは、セキュリティの観点から非常に強力で、パスワードを安全に保存するための推奨される方法の一つです。argon2は、メモリ使用量、時間、並列性を調整できるため、攻撃者がハッシュを解読するのを困難にします。特に、argon2は、パスワードをハッシュ化する際に、GPUやASICによる攻撃に対して強い耐性を持っています。

argon2の代替として、以下のようなライブラリがあります。

bcryptは、パスワードのハッシュ化に広く使用されているライブラリで、セキュリティのために設計されています。bcryptは、ハッシュ化プロセスにおいて計算コストを調整できるため、攻撃者がパスワードを解読するのを難しくします。bcryptは、特に古くから使われているため、多くのプロジェクトで採用されていますが、argon2に比べると、メモリ使用量の調整ができないため、セキュリティの観点からは劣る場合があります。
pbkdf2は、パスワードベースのキー導出関数であり、パスワードをハッシュ化するために使用されます。pbkdf2は、パスワードをハッシュ化する際に、複数回のハッシュ計算を行うことで、攻撃者がハッシュを解読するのを難しくします。ただし、pbkdf2は、argon2やbcryptと比較して、メモリ使用量の調整ができないため、セキュリティの強度は劣ることがあります。

これらのライブラリの比較については、こちらをご覧ください: argon2 vs bcrypt vs pbkdf2の比較。

bcryptと類似したnpmパッケージ

bcryptは、パスワードのハッシュ化と検証を行うための人気のあるライブラリです。このライブラリは、パスワードを安全に保存するための強力な手段を提供し、セキュリティを向上させるために広く使用されています。bcryptは、ソルトを使用してパスワードをハッシュ化し、同じパスワードでも異なるハッシュを生成することで、辞書攻撃やレインボーテーブル攻撃に対する耐性を高めます。しかし、bcryptにはいくつかの代替ライブラリも存在します。以下にいくつかの選択肢を紹介します。

bcrypt-nodejsは、bcryptのNode.js実装の一つで、特にNode.js環境での使用を目的としています。このライブラリは、bcryptの機能を提供しつつ、C++の依存関係を持たないため、インストールが簡単で、特に環境による問題を避けることができます。bcrypt-nodejsは、Node.jsのバージョンに依存せずに動作するため、より柔軟な選択肢となりますが、パフォーマンスはbcryptに比べて若干劣る場合があります。
bcryptjsは、bcryptの純粋なJavaScript実装であり、Node.jsやブラウザの両方で使用できます。bcryptjsは、C++の依存関係がないため、インストールが容易で、クロスプラットフォームでの互換性が高いのが特徴です。セキュリティ機能はbcryptと同様ですが、パフォーマンスは若干劣ることがあります。それでも、bcryptjsは、特にブラウザ環境での使用を考慮している場合に非常に便利です。

これらのライブラリの比較については、次のリンクを参照してください: bcrypt vs bcrypt-nodejs vs bcryptjsの比較。

bcrypt-nodejsと類似したnpmパッケージ

bcrypt-nodejs は、Node.js アプリケーションでパスワードをハッシュ化するためのライブラリです。このライブラリは、bcrypt アルゴリズムを使用しており、パスワードのセキュリティを向上させるために設計されています。bcrypt-nodejs は、特に Node.js 環境での使用を目的としており、簡単にパスワードをハッシュ化し、検証することができます。しかし、他にも同様の機能を提供するライブラリがあります。以下にいくつかの代替ライブラリを紹介します。

bcrypt は、Node.js とブラウザの両方で使用できるパスワードハッシュ化ライブラリです。C++ で実装された bcrypt のバインディングを使用しており、高速で効率的なハッシュ化を提供します。bcrypt は、セキュリティが重要なアプリケーションにおいて、パスワードを安全に保存するための標準的な選択肢とされています。パフォーマンスとセキュリティの両方を重視する場合、bcrypt を選択することが推奨されます。
bcryptjs は、bcrypt の純粋な JavaScript 実装であり、Node.js 環境だけでなく、ブラウザでも動作します。C++ の依存関係がないため、インストールが簡単で、特に環境に制約がある場合に便利です。bcryptjs は、パフォーマンスは bcrypt に劣りますが、使いやすさと互換性の面で優れています。シンプルなプロジェクトや、特定の環境での使用を考えている場合には、bcryptjs が適しています。

これらのライブラリの比較については、以下のリンクを参照してください: bcrypt vs bcrypt-nodejs vs bcryptjs の比較。

bcryptjs

argon2

bcrypt

bcrypt-nodejs

bcryptjs のREADME

bcrypt.js

Optimized bcrypt in JavaScript with zero dependencies, with TypeScript support. Compatible to the C++ bcrypt binding on Node.js and also working in the browser.

Security considerations

Besides incorporating a salt to protect against rainbow table attacks, bcrypt is an adaptive function: over time, the iteration count can be increased to make it slower, so it remains resistant to brute-force search attacks even with increasing computation power. (see)

While bcrypt.js is compatible to the C++ bcrypt binding, it is written in pure JavaScript and thus slower (about 30%), effectively reducing the number of iterations that can be processed in an equal time span.

The maximum input length is 72 bytes (note that UTF-8 encoded characters use up to 4 bytes) and the length of generated hashes is 60 characters. Note that maximum input length is not implicitly checked by the library for compatibility with the C++ binding on Node.js, but should be checked with bcrypt.truncates(password) where necessary.

Usage

The package exports an ECMAScript module with an UMD fallback.

$> npm install bcryptjs

import bcrypt from "bcryptjs";

Usage with a CDN

From GitHub via jsDelivr:
https://cdn.jsdelivr.net/gh/dcodeIO/bcrypt.js@TAG/index.js (ESM)
From npm via jsDelivr:
https://cdn.jsdelivr.net/npm/bcryptjs@VERSION/index.js (ESM)
https://cdn.jsdelivr.net/npm/bcryptjs@VERSION/umd/index.js (UMD)
From npm via unpkg:
https://unpkg.com/bcryptjs@VERSION/index.js (ESM)
https://unpkg.com/bcryptjs@VERSION/umd/index.js (UMD)

Replace TAG respectively VERSION with a specific version or omit it (not recommended in production) to use latest.

When using the ESM variant in a browser, the crypto import needs to be stubbed out, for example using an import map. Bundlers should omit it automatically.

Usage - Sync

To hash a password:

const salt = bcrypt.genSaltSync(10);
const hash = bcrypt.hashSync("B4c0/\/", salt);
// Store hash in your password DB

To check a password:

// Load hash from your password DB
bcrypt.compareSync("B4c0/\/", hash); // true
bcrypt.compareSync("not_bacon", hash); // false

Auto-gen a salt and hash:

const hash = bcrypt.hashSync("bacon", 10);

Usage - Async

To hash a password:

const salt = await bcrypt.genSalt(10);
const hash = await bcrypt.hash("B4c0/\/", salt);
// Store hash in your password DB

bcrypt.genSalt(10, (err, salt) => {
  bcrypt.hash("B4c0/\/", salt, function (err, hash) {
    // Store hash in your password DB
  });
});

To check a password:

// Load hash from your password DB
await bcrypt.compare("B4c0/\/", hash); // true
await bcrypt.compare("not_bacon", hash); // false

// Load hash from your password DB
bcrypt.compare("B4c0/\/", hash, (err, res) => {
  // res === true
});
bcrypt.compare("not_bacon", hash, (err, res) => {
  // res === false
});

Auto-gen a salt and hash:

await bcrypt.hash("B4c0/\/", 10);
// Store hash in your password DB

bcrypt.hash("B4c0/\/", 10, (err, hash) => {
  // Store hash in your password DB
});

Note: Under the hood, asynchronous APIs split an operation into small chunks. After the completion of a chunk, the execution of the next chunk is placed on the back of the JS event queue, efficiently yielding for other computation to execute.

Usage - Command Line

Usage: bcrypt <input> [rounds|salt]

API

Callback types

Callback<T>: (err: Error | null, result?: T) => void
Called with an error on failure or a value of type T upon success.
ProgressCallback: (percentage: number) => void
Called with the percentage of rounds completed (0.0 - 1.0), maximally once per MAX_EXECUTION_TIME = 100 ms.
RandomFallback: (length: number) => number[]
Called to obtain random bytes when both Web Crypto API and Node.js crypto are not available.

Functions

bcrypt.genSaltSync(rounds?: number): string
Synchronously generates a salt. Number of rounds defaults to 10 when omitted.
bcrypt.genSalt(rounds?: number): Promise<string>
Asynchronously generates a salt. Number of rounds defaults to 10 when omitted.
bcrypt.genSalt([rounds: number, ]callback: Callback<string>): void
Asynchronously generates a salt. Number of rounds defaults to 10 when omitted.
bcrypt.truncates(password: string): boolean
Tests if a password will be truncated when hashed, that is its length is greater than 72 bytes when converted to UTF-8.
bcrypt.hashSync(password: string, salt?: number | string): string Synchronously generates a hash for the given password. Number of rounds defaults to 10 when omitted.
bcrypt.hash(password: string, salt: number | string): Promise<string>
Asynchronously generates a hash for the given password.
bcrypt.hash(password: string, salt: number | string, callback: Callback<string>, progressCallback?: ProgressCallback): void
Asynchronously generates a hash for the given password.
bcrypt.compareSync(password: string, hash: string): boolean
Synchronously tests a password against a hash.
bcrypt.compare(password: string, hash: string): Promise<boolean>
Asynchronously compares a password against a hash.
bcrypt.compare(password: string, hash: string, callback: Callback<boolean>, progressCallback?: ProgressCallback)
Asynchronously compares a password against a hash.
bcrypt.getRounds(hash: string): number
Gets the number of rounds used to encrypt the specified hash.
bcrypt.getSalt(hash: string): string
Gets the salt portion from a hash. Does not validate the hash.
bcrypt.setRandomFallback(random: RandomFallback): void
Sets the pseudo random number generator to use as a fallback if neither Web Crypto API nor Node.js crypto are available. Please note: It is highly important that the PRNG used is cryptographically secure and that it is seeded properly!

Building

Building the UMD fallback:

$> npm run build

Running the tests:

$> npm test

Credits

Based on work started by Shane Girish at bcrypt-nodejs, which is itself based on javascript-bcrypt (New BSD-licensed).