Senhas e hashes: armazenamento, verificação e escolha de algoritmo

Por que o MD5 não deve armazenar senhas, quando usar o bcrypt vs SHA - 256 e como usar as ferramentas Towalles de forma segura para verificação local e aprendizado.

· Todos os guias

Hashing não é criptografia

O hashing é um digest unidirecional: a mesma entrada produz a mesma saída; você não pode reverter o digest para obter o original. A criptografia é reversível com uma chave. O armazenamento de senhas deve usar hashing unidirecional + sal + algoritmos lentos - nunca criptografar e armazenar; um vazamento de chave expõe todas as senhas. hash-generator ajuda a entender o comportamento de digest MD5, SHA - 256, mas não deve ser usado para armazenamento de senhas.

O SHA - 256 se adapta a somas de verificação de arquivos, blockchain, assinaturas de API - integridade determinística e rápida. As senhas precisam de lenteza intencional: bcrypt, scrypt, Argon2 usam fatores de custo contra força bruta. A ferramenta Towel bcrypt demonstra rounds e formato hash para aprendizado; a produção deve usar bibliotecas maduras do lado do servidor.

Política e geração de senhas

Senhas fortes não são regras de complexidade infinita. Orientação moderna do NIST: comprimento primeiro (12 + caracteres), verifique bancos de dados de violação (eu fui Pwned), evite rotação forçada que conduza notas pegajosas. Password-generator cria senhas aleatórias; password-strength avalia entropia e padrões fracos para treinamento de equipe - nunca coletar senhas de funcionários reais para testes.

A autenticação de múltiplos fatores (MFA) supera senhas mais longas sozinhas. Os sites de ferramentas não podem substituir provedores de identidade - implementem OAuth, WebAuthn, TOTP na arquitetura do seu aplicativo. Os geradores locais se adaptam às senhas de contas de teste; substituí - las por gerenciamento de segredos ou credenciais injetadas antes da implantação.

Assinaturas de API e HMAC

Webhooks e APIs abertas geralmente usam o HMAC-SHA256 para verificar corpos de solicitação: cliente e servidor compartilham um segredo, calculam MAC sobre uma string canônica e comparam. Isso difere do hashing de senhas - o HMAC precisa de uma comparação secreta e constante contra ataques de temporização. O sistema reproduz exemplos de documentação localmente para verificar se sua implementação corresponde à produção oficial do SDK.

Nunca colar segredos de produção em qualquer ferramenta online (Toalhas incluídas). Use amostras redigidas ou chaves antigas rotadas para testes de integração. A combinação de hash-generator e hashc-generator esclarece a fronteira entre digest, digest chaveado e assinatura JWT - um tópico frequente de entrevista de backend e revisão de código.

Ferramentas relacionadas