Чтобы иметь некоторую устойчивость к атакам генерации пароля, Bcrypt использует итерацию по расширению ключа шифра Blowfish .Число итераций определяется как степени 2, в может быть от 2 ^ 4 до 2 ^ 31.Он также использует соль против Радужных таблиц
Когда новый пользователь регистрируется, сервер берет ключ, а затем Bcrypt сохраняет его.
Когда пользователь хочет войти в системув, пользователь отправляет пароль на сервер, и сервер снова зашифровывает его, чтобы сравнить с сохраненным результатом.
В результате для сравнения также требуется запуск Bcrypt, это означает, что у них будет почти одинаковое время.