Hash no es encriptación
El hashing es un resumen unidireccional: la misma entrada produce la misma salida; no se puede invertir el resumen para obtener el original. El cifrado es reversible con una clave. El almacenamiento de contraseñas debe usar hash unidireccional + sal + algoritmos lentos - nunca cifrar y almacenar; una fuga de clave expone todas las contraseñas. hash-generator ayuda a entender el comportamiento de digestión MD5, SHA - 256, pero no debe usarse para almacenar contraseñas.
SHA - 256 se adapta a las sumas de verificación de archivos, blockchain, firmas de API, integridad determinista rápida. Las contraseñas necesitan lentitud intencional: bcrypt, scrypt, Argon2 usan factores de costo contra la fuerza bruta. La herramienta Towelles bcrypt demuestra rondas y formato hash para el aprendizaje; la producción debe usar bibliotecas maduras del lado del servidor.
Política de contraseñas y generación
Las contraseñas fuertes no son reglas de complejidad infinita. Orientación moderna del NIST: longitud primero (12 + caracteres), comprobar las bases de datos de violación (He sido Pwned), evitar la rotación forzada que impulsa notas pegajosas. Password-generator crea contraseñas aleatorias; password-strength evalúa la entropía y los patrones débiles para el entrenamiento del equipo - nunca recopila contraseñas de empleados reales para pruebas.
La autenticación multifactor (MFA) supera las contraseñas más largas por sí solas. Los sitios de herramientas no pueden reemplazar a los proveedores de identidad: implementa OAuth, WebAuthn, TOTP en la arquitectura de su aplicación. Los generadores locales se adaptan a las contraseñas de la cuenta de prueba; reemplazarlos con la gestión de secretos o credenciales inyectadas env antes de la implementación.
Firmas API y HMAC
Webhooks y API abiertas a menudo usan HMAC-SHA256 para verificar los cuerpos de la solicitud: cliente y servidor comparten un secreto, calculan MAC sobre una cadena canónica y comparan. Esto difiere del hashing de contraseñas: HMAC necesita una comparación secreta y constante contra los ataques de sincronización. El generador reproduce ejemplos de documentación localmente para verificar que su implementación coincide con la salida oficial del SDK.
Nunca pegue secretos de producción en ninguna herramienta en línea (Toallas incluidas). Utilice muestras redactadas o teclas antiguas rotadas para las pruebas de integración. La combinación de hash-generador y hash-generador aclara el límite entre digest, digest clave y firma JWT, un tema frecuente de entrevista de backend y revisión de código.