· Все гиды
Хэширование - это не шифрование
Хеширование - это одностороннее обобщение: один и тот же вход дает один и тот же выход; вы не можете обратить обобщение, чтобы получить оригинал.Шифрование является обратимым с помощью ключа.Хранение паролей должно использовать одностороннее хеширование + соль + медленные алгоритмы - никогда не шифровать и хранить; одна утечка ключа раскрывает все пароли.Хэш-генератор помогает понять поведение MD5, SHA-256 синтеза, но не должен использоваться для хранения паролей.
SHA-256 подходит для проверенных сумм файлов, блокчейна, подписей API - быстрая, детермистическая целостность.Пароли нуждаются в преднамеренной медленности: bcrypt, scrypt, Argon2 используют коэффициенты затрат против грубой силы.Инструмент Towalles bcrypt демонстрирует раунды и хеш-форматы для обучения; производство должно использовать зрелые библиотеки на стороне сервера.
Политика и генерация паролей
Сильные пароли - это не бесконечные правила сложности.Современные рекомендации NIST: длина сначала (12 + символов), проверка нарушений баз данных (Have I Been Pwned), избегание принудительного ротации, что приводит клейкие ноты. Password-generator создает случайные парольные фразы; Password-strength оценивает энтропию и слабые паттерны для обучения команды - никогда не собирает реальные пароли сотрудников для тестирования.
Многофакторная аутентификация (MFA) превосходит длинные пароли.Инструментальные сайты не могут заменить поставщиков идентификационных данных - реализуйте OAuth, WebAuthn, TOTP в архитектуре вашего приложения.Локальные генераторы подходят для паролей тестовых учетных записей; заменяйте паролями управления секретами или учетными данными, вставленными в env до развертывания.
API подписи и HMAC
Webhooks и открытые API часто используют HMAC-SHA256 для проверки тел запросов: клиент и сервер делятся секретом, вычисляют MAC по канонической строке и сравнивают.Это отличается от хеширования паролей - HMAC нуждается в секретном и постоянном сравнении против атак временного времени.«... »
Никогда не вставляйте секреты производства в какой-либо онлайн-инструмент (включая полотенца).Используйте отредактированные образцы или вращающиеся старые ключи для тестирования интеграции.Сочетание генератора хеша и генератора hashc проясняет границу между Digest, Keyed Digest и JWT Signing - часто встречающейся темой интервью и обзора кода.