· 全部指南
哈希 ≠ 加密
哈希是單向摘要:相同輸入得到相同輸出,無法從摘要反推原文。加密是可逆的(有密鑰就能解密)。密碼存儲必須用單向哈希 + 鹽(salt)+ 慢哈希算法,絕不能加密後存庫--密鑰一旦泄露,全部密碼裸奔。hash-generator 適合理解 md5、sha-256 等摘要算法的行為,但不應用於密碼存儲。
sha-256 適合文件校驗、區塊鏈、api 簽名等完整性場景--需要快速、確定性輸出。密碼場景需要故意“慢”:bcrypt、scrypt、argon2 通過 cost factor 抵禦暴力破解。towalles bcrypt 工具演示 rounds 與 hash 格式,僅供學習參數含義,生產環境在服務端用成熟庫生成。
密碼策略與生成
強密碼不等於複雜規則堆砌。nist 現代建議:長度優先(12 位以上)、檢查泄露密碼庫(have i been pwned)、避免定期強制改密導致用戶寫便簽。password-generator 可生成隨機口令;password-strength 評估熵與常見弱模式,適合團隊培訓,不要收集員工真實密碼做測試。
多因素認證(mfa)比單純加長密碼更有效。工具站無法替代身份提供商--oauth、webauthn、totp 應在你的應用架構中實現。本地 generator 適合創建測試帳號密碼,部署前務必替換為密鑰管理系統或環境變量注入的憑據。
api 簽名與 hmac
webhook 與開放 api 常用 hmac-sha256 驗證請求體未被篡改:服務端與客戶端共享 secret,對 canonical 字符串計算 mac 並比對。這與密碼哈希不同--hmac 需要密鑰,且要防 timing attack(使用恆定時間比較)。hmac-generator 適合本地復現文檔示例,驗證你的實現與官方 sdk 輸出一致。
生產 secret 不要粘貼到任何在線工具(包括 towalles)。用脫敏樣本或輪換後的舊密鑰做聯調。hash-generator 與 hmac-generator 組合使用,可理清“摘要”“帶密鑰的摘要”“jwt 簽名”三者的邊界--這是後端面試與代碼審查的高頻考點。