Hashing não é criptografia
O hashing é um digest unidirecional: a mesma entrada produz a mesma saída; você não pode reverter o digest para obter o original. A criptografia é reversível com uma chave. O armazenamento de senhas deve usar hashing unidirecional + sal + algoritmos lentos - nunca criptografar e armazenar; um vazamento de chave expõe todas as senhas. hash-generator ajuda a entender o comportamento de digest MD5, SHA - 256, mas não deve ser usado para armazenamento de senhas.
O SHA - 256 se adapta a somas de verificação de arquivos, blockchain, assinaturas de API - integridade determinística e rápida. As senhas precisam de lenteza intencional: bcrypt, scrypt, Argon2 usam fatores de custo contra força bruta. A ferramenta Towel bcrypt demonstra rounds e formato hash para aprendizado; a produção deve usar bibliotecas maduras do lado do servidor.
Política e geração de senhas
Senhas fortes não são regras de complexidade infinita. Orientação moderna do NIST: comprimento primeiro (12 + caracteres), verifique bancos de dados de violação (eu fui Pwned), evite rotação forçada que conduza notas pegajosas. Password-generator cria senhas aleatórias; password-strength avalia entropia e padrões fracos para treinamento de equipe - nunca coletar senhas de funcionários reais para testes.
A autenticação de múltiplos fatores (MFA) supera senhas mais longas sozinhas. Os sites de ferramentas não podem substituir provedores de identidade - implementem OAuth, WebAuthn, TOTP na arquitetura do seu aplicativo. Os geradores locais se adaptam às senhas de contas de teste; substituí - las por gerenciamento de segredos ou credenciais injetadas antes da implantação.
Assinaturas de API e HMAC
Webhooks e APIs abertas geralmente usam o HMAC-SHA256 para verificar corpos de solicitação: cliente e servidor compartilham um segredo, calculam MAC sobre uma string canônica e comparam. Isso difere do hashing de senhas - o HMAC precisa de uma comparação secreta e constante contra ataques de temporização. O sistema reproduz exemplos de documentação localmente para verificar se sua implementação corresponde à produção oficial do SDK.
Nunca colar segredos de produção em qualquer ferramenta online (Toalhas incluídas). Use amostras redigidas ou chaves antigas rotadas para testes de integração. A combinação de hash-generator e hashc-generator esclarece a fronteira entre digest, digest chaveado e assinatura JWT - um tópico frequente de entrevista de backend e revisão de código.