· 모든 가이드
해싱은 암호화가 아닙니다.
해싱은 일방향 다이제스트입니다: 동일한 입력은 동일한 출력을 산출합니다; 원본을 얻기 위해 다이제스트를 반전할 수 없습니다.암호화는 키를 사용하여 되돌릴 수 있습니다.암호 저장소는 단방향 해시 + 소금 + 느린 알고리즘을 사용해야 합니다 - 절대 암호화 - 그리고 저장; 하나의 키 누출은 모든 암호를 노출합니다. hash - generator 는 MD 5, SHA - 256 요약 동작을 이해하는 데 도움이 되지만 암호 저장에 사용해서는 안 됩니다.
SHA - 256 은 파일 체크섬, 블록 체인, API 서명 - 빠르고 결정적 무결성에 적합합니다.비밀번호는 의도적으로 느려져야 한다: bcrypt, scrypt, Argon 2 는 무력 (brute force) 에 대한 비용 요소를 사용합니다. Towalles bcrypt 도구는 학습을위한 라운드 및 해시 형식을 보여줍니다; 프로덕션에서는 성숙한 서버측 라이브러리를 사용해야합니다.
비밀번호 정책 및 생성
강력한 암호는 무한한 복잡성의 규칙이 아닙니다.현대 NIST 가이드라인: length first (12 + chars), breach databases check (Have I Been Pwned), sticky notes 를 운전하는 강제 회전을 피하십시오. password - generator 는 임의의 암호 구문을 생성하고, password - strength 는 팀 교육에 대한 엔트로피와 약한 패턴을 평가하며, 테스트를 위해 실제 직원 암호를 수집하지 않습니다.
MFA (Multi - Factor Authentication) 는 긴 비밀번호를 능가합니다.도구 사이트는 ID 제공자를 대체할 수 없습니다 - 앱 아키텍처에서 OAuth, WebAuthn, TOTP 를 구현합니다.로컬 생성기는 테스트 계정 암호에 적합합니다. 배포 전에 비밀 관리 또는 env - injected 인증서로 대체하십시오.
API 서명 및 HMAC
웹후크와 개방형 API 는 종종 HMAC - SHA 256 을 사용하여 요청 본문을 확인합니다: 클라이언트와 서버는 암호를 공유하고, 정규 문자열을 통해 MAC 을 계산하고, 비교합니다.이것은 암호 해싱과 다릅니다 - HMAC 는 타이밍 공격에 대한 비밀 및 상수 시간 비교를 필요로합니다.설명서 예제를 로컬로 재생하여 구현이 공식 SDK 출력과 일치하는지 확인합니다.
생산 비밀은 온라인 도구 (수건 포함) 에 붙여넣지 마십시오.통합 테스트를 위해 편집된 샘플 또는 회전된 이전 키를 사용합니다.해시 생성기와 예제 생성기를 결합하면 digest, keyed digest, JWT signing 사이의 경계를 명확히 합니다. 이는 백엔드 인터뷰 및 코드 검토에 자주 사용되는 주제입니다.