Localizador de Pré-imagem de Hash
Veja uma busca local por força bruta, limitada, recuperar em segundos a entrada de um hash fraco — ou esgotar o espaço de chaves diante de qualquer coisa com entropia real. Sem wordlist, sem tabela, apenas o seu navegador. Uma demonstração de por que hashes rápidos e sem sal falham.
Hashing e criptoUm hash rápido de uma entrada de baixa entropia é trivialmente reversível por enumeração, como você acabou de ver. O armazenamento real de senhas se defende disso em três camadas.
Um salt aleatório único por senha torna cada hash armazenado diferente, mesmo para senhas idênticas. É isso que inutiliza serviços de consulta como o CrackStation: uma tabela pré-computada precisaria ser refeita para cada salt, tornando-se inútil.
bcrypt, scrypt, Argon2 e PBKDF2 são deliberadamente lentas e ajustáveis. Fazer cada tentativa custar milissegundos em vez de nanossegundos reduz a taxa do atacante em seis ordens de grandeza ou mais, transformando uma quebra de segundos em milênios.
MD5 e SHA-1 têm colisões quebradas e, como o SHA-256, são rápidos demais para guardar segredos. Use um hash de senha dedicado e dê aos segredos comprimento e aleatoriedade suficientes para que nenhuma busca no espaço de chaves os alcance.
Tudo roda localmente no seu navegador. Nada do que você cola é enviado. Esta ferramenta existe para demonstrar a fragilidade de hashes e é limitada para só recuperar entradas trivialmente fracas.