What's the difference between MD5, SHA-1, SHA-256, and SHA-512?

All are cryptographic hash functions that convert text to fixed-length codes. MD5 (128-bit) is outdated and insecure. SHA-1 (160-bit) is deprecated. SHA-256 (256-bit) and SHA-512 (512-bit) are modern, secure standards used for password storage and data integrity verification.

What does the color visualization represent?

The colored blocks provide a visual fingerprint of the hash. Different inputs produce completely different color patterns, making it easy to spot when data has changed even slightly.

Do I need to install anything to use String Hash Visualiser?

No installation needed. String Hash Visualiser works directly in any modern web browser, Chrome, Firefox, Safari, or Edge.

Is this tool secure for sensitive data?

Yes, all processing runs entirely in your browser. No data is sent to any server, making it safe for sensitive information.

Is there a text length limit?

There is no hard limit. The tool can process large texts with tens of thousands of characters. Very long texts may take a moment to process depending on your device.

String Hash Visualisator

Masukkan teks untuk menghitung dan membandingkan secara visual hash MD5, SHA-1, SHA-256, dan SHA-512 dengan blok warna.

Teks input

Cara kerjanya

Masukkan teks Anda: ketik atau tempel string apa pun, kata sandi, konten file, pengenal, atau teks apa pun untuk di-hash.
Pilih algoritma: pilih MD5, SHA-1, SHA-256, SHA-384, atau SHA-512 sesuai kebutuhan Anda.
Salin hash: nilai hash muncul seketika. Salin untuk penyimpanan, perbandingan, atau verifikasi.

Mengapa menggunakan generator hash string?

Hashing mengubah string apa pun menjadi sidik jari panjang tetap, unik untuk kontennya. Satu karakter yang dimodifikasi menghasilkan hash yang sepenuhnya berbeda. Ini penting untuk memverifikasi integritas data, menyimpan kata sandi dengan aman, menghasilkan kunci cache, mendeduplikasi catatan, dan membuat pengenal berbasis konten. Karena hashing satu arah, tidak mungkin memulihkan teks asli dari hash, yang membuatnya aman untuk menyimpan data sensitif.

Fitur

Beberapa algoritma: MD5, SHA-1, SHA-256, SHA-384, dan SHA-512, semuanya dalam satu alat.
Hashing real-time: hash diperbarui seketika saat Anda mengetik, tanpa klik tombol.
Peka huruf besar/kecil: "Hello" dan "hello" menghasilkan hash yang berbeda, sesuai desain.
Salin ke clipboard: menyalin hash dengan satu klik.
100% di browser: string tidak pernah meninggalkan perangkat Anda, aman untuk konten sensitif.

Pertanyaan umum

Algoritma hash apa yang harus saya pilih?

Untuk penggunaan sensitif (kata sandi, tanda tangan), gunakan SHA-256 atau SHA-512. MD5 dan SHA-1 sudah usang untuk keamanan tetapi tetap berguna untuk checksum dan kunci cache di mana kekuatan kriptografi tidak diperlukan.

Bisakah saya menggunakan alat ini untuk hash kata sandi yang akan disimpan?

Hash string memberi Anda hash satu arah, tetapi untuk menyimpan kata sandi, Anda perlu menggunakan fungsi derivasi kunci seperti bcrypt, Argon2, atau PBKDF2 yang menggabungkan salt dan iterasi. Hash SHA sederhana terlalu cepat dan rentan terhadap serangan tabel pelangi.

Apakah hash dapat dibalik?

Tidak. Fungsi hashing satu arah, tidak mungkin memulihkan string asli dari hash-nya. Jika dua string menghasilkan hash yang sama (tabrakan), itu adalah cacat algoritma. SHA-256 dan SHA-512 tidak memiliki tabrakan praktis yang diketahui.

Sejarah 35 tahun fungsi hash: dari MD5 ke BLAKE3

Fungsi hash kriptografis berevolusi melalui rangkaian panjang siklus pecahkan-dan-ganti. MD5 dipublikasikan oleh Ronald Rivest dalam RFC 1321 (April 1992) sebagai penerus MD4. Output 128-bit-nya dianggap cukup kuat selama lebih dari satu dekade sampai Wang dan Yu mempublikasikan tabrakan praktis pertama pada 2004. Pada 2008, peneliti telah menggunakan tabrakan MD5 untuk memalsukan otoritas sertifikat SSL nakal. SHA-1 dirancang oleh NSA dan distandarisasi oleh NIST dalam FIPS 180-1 (1995). Output 160-bit-nya bertahan sampai Februari 2017, ketika Google dan CWI Amsterdam mengumumkan serangan SHAttered, menghasilkan dua PDF dengan hash SHA-1 yang sama. Biaya: sekitar 6.500 tahun-CPU setara pada GPU. SHA-2 (SHA-224, SHA-256, SHA-384, SHA-512), juga dari NSA, dipublikasikan dalam FIPS 180-2 (Agustus 2002). Menggunakan konstruksi Merkle-Damgård yang sama dengan SHA-1 tetapi dengan status yang lebih besar dan lebih banyak ronde; tidak ada serangan praktis pada versi lengkap saat ini. SHA-3 (Keccak, oleh Bertoni et al.) dipilih oleh NIST setelah kompetisi publik dan distandarisasi dalam FIPS 202 (Agustus 2015). SHA-3 menggunakan konstruksi spons yang sama sekali berbeda, kebal terhadap serangan ekstensi panjang yang mempengaruhi SHA-2. Di luar keluarga NIST, BLAKE2 (Aumasson et al., 2012) dan BLAKE3 (2020) menawarkan keamanan kelas SHA-3 dengan kecepatan MD5; BLAKE3 menghash file 1 GB dalam sekitar satu detik di laptop modern.

Algoritma mana yang dipilih: tabel keputusan cepat

MD5 (128 bit). Rusak sejak 2004. Dapat diterima untuk penggunaan non-keamanan: cache busting, deduplikasi file di mana Anda mengontrol kedua sisi, checksum terhadap kerusakan tidak disengaja. Jangan pernah gunakan untuk kata sandi, tanda tangan, atau konteks adversarial apa pun.
SHA-1 (160 bit). Rusak sejak 2017 (SHAttered). Git masih menggunakannya untuk hash commit, tetapi pada Maret 2017 Git mulai menyematkan deteksi tabrakan (SHA-1DC) untuk menolak pola serangan yang diketahui. Hindari SHA-1 untuk kode baru.
SHA-256 (256 bit). Kuda kerja saat ini. Digunakan oleh Bitcoin, sertifikat TLS, tanda tangan paket Linux, penandatanganan JWT (HMAC-SHA256), dan sebagian besar API modern. Cepat di perangkat keras (ekstensi Intel SHA, ekstensi kriptografi ARMv8). Pilihan default untuk hashing tujuan umum.
SHA-512 (512 bit). Keluarga yang sama, output lebih besar. Sedikit lebih cepat dari SHA-256 pada mesin 64-bit karena status internalnya 64-bit. Gunakan saat Anda membutuhkan resistensi tabrakan ekstra atau saat 256 bit terasa membatasi (jarang).
SHA-3 / Keccak (224/256/384/512 bit). Alternatif spons yang distandarisasi untuk SHA-2. Tahan terhadap serangan ekstensi panjang yang mempengaruhi SHA-2 (relevan saat membangun hash berkunci tanpa HMAC). Lebih lambat dalam perangkat lunak daripada SHA-256 pada sebagian besar CPU tetapi kebal terhadap kelas serangan yang berbeda.
BLAKE2 / BLAKE3. Alternatif non-NIST modern. BLAKE3 adalah hash kriptografi tercepat yang tersedia secara luas, hashing pada kira-kira kecepatan memcpy berkat paralelisme. Digunakan dalam b3sum, IPFS, dan protokol VPN WireGuard. Belum di crypto.subtle, tetapi tersedia melalui pustaka.

Di mana hashing sebenarnya digunakan

Verifikasi integritas file. Distribusi Linux memublikasikan jumlah SHA-256 di samping unduhan ISO sehingga Anda dapat memverifikasi bahwa file tidak rusak dalam perjalanan atau dimodifikasi oleh penyerang. sha256sum -c ubuntu.sha256 dalam 10 detik.
Penyimpanan yang dialamatkan oleh konten. Git menggunakan SHA-1 (beralih ke SHA-256) untuk mengidentifikasi setiap commit, pohon, dan blob. IPFS, image Docker (sha256:...), dan jalur store Nix semuanya menggunakan alamat konten. Hash ITU adalah pengidentifikasi.
Kunci cache. Menghash URL atau permintaan terserialisasi memberi Anda kunci panjang tetap yang cocok dengan sistem penyimpanan apa pun. Stripe, GitHub, setiap CDN menggunakan ini untuk pencarian cache.
Deduplikasi. Sistem cadangan (Time Machine, Borg, Restic) menghash blok file dan hanya menyimpan yang unik. Dua blok 4 KB yang identik di file berbeda dipetakan ke satu potongan yang disimpan.
HTTP ETags. Server web mengirim hash dari respons sebagai header ETag. Browser mengirimnya kembali dengan If-None-Match; server mengembalikan 304 jika tidak berubah. Menghemat unduhan redundan.
Tanda tangan JWT dan webhook. JSON Web Tokens menandatangani payload mereka dengan HMAC-SHA256 (HS256 dalam spec). Stripe, GitHub, webhook Twilio semua menandatangani payload mereka sehingga Anda dapat memverifikasi bahwa mereka tidak dirusak dalam perjalanan.
Blockchain. Bitcoin menggunakan SHA-256 ganda untuk proof-of-work dan penghubungan blok. Ethereum menggunakan Keccak-256 (varian SHA-3). Seluruh konsep blockchain bersandar pada properti bahwa menemukan dua input dengan hash yang sama secara komputasi tidak layak.

Kesalahan hashing yang kehilangan uang atau merusak hal

Menggunakan hash SHA untuk penyimpanan kata sandi. SHA-256 cepat: GPU modern menghitung ~10 miliar hash SHA-256 per detik. Dengan database bocor, penyerang dapat mencoba setiap kata dalam kamus ditambah semua transformasi umum dalam menit. Gunakan Argon2id (pemenang Password Hashing Competition 2015), bcrypt, atau scrypt. Mereka sengaja lambat dan keras memori.
Lupa menggarami. Bahkan dengan hash lambat, kata sandi yang sama yang di-hash tanpa salt menghasilkan output yang sama di antara pengguna, memungkinkan tabel pelangi dan deteksi saluran samping kata sandi duplikat. Selalu simpan salt acak per pengguna di samping hash.
Serangan ekstensi panjang pada SHA-2. hash(secret + message) dengan SHA-256 rentan: penyerang yang mengetahui hash dan panjang secret dapat menambahkan data sewenang-wenang dan menghitung hash yang dihasilkan tanpa mengetahui secret. Gunakan HMAC-SHA256 sebagai gantinya. SHA-3 dan BLAKE2/3 kebal.
Perbandingan string waktu konstan. Membandingkan hash (atau nilai rahasia apa pun) dengan == di JavaScript membocorkan informasi melalui waktu: fungsi yang keluar pada ketidakcocokan byte pertama memungkinkan penyerang mempelajari hash yang benar byte demi byte selama banyak permintaan. Gunakan crypto.timingSafeEqual di Node, hmac.compare_digest di Python.
Hashing string tanpa menentukan pengkodean. sha256("hello") di Python 3 error (Anda perlu byte); di Node defaultnya UTF-8; di PHP dan Java default mungkin bervariasi. Pengkodean yang berbeda menghasilkan hash yang berbeda. Selalu encode sebagai UTF-8 secara eksplisit sebelum hashing.
Memotong hash untuk «ID pendek». Potongan 64-bit dari SHA-256 nyaman untuk ID pendek tetapi paradoks ulang tahun berarti tabrakan muncul pada ~2³² item (sekitar 4 miliar), bukan 2⁶⁴. Jika Anda memotong, rencanakan penanganan tabrakan pada skala yang diharapkan.
Memperlakukan output hash sebagai string yang aman URL. Byte hash mentah tidak dapat dicetak. Gunakan hex (paling umum) atau base64url. Base64 standar berisi + dan / yang rusak di URL dan nama file; base64url adalah varian yang aman.

Pertanyaan yang lebih sering diajukan

Mengapa MD5 dan SHA-1 «rusak» jika mereka masih menghasilkan hash?

«Rusak» berarti penyerang dapat menghasilkan tabrakan lebih cepat dari brute force. Untuk MD5, menemukan dua input dengan hash yang sama membutuhkan detik pada laptop hari ini. Untuk SHA-1, dibutuhkan 6.500 tahun-CPU pada 2017 dan telah turun secara dramatis sejak saat itu. Hash masih bekerja secara mekanis; yang rusak adalah jaminan keamanan bahwa mereka «tahan tabrakan». Untuk penggunaan non-adversarial (checksum file yang Anda percayai terhadap kerusakan tidak disengaja) MD5 masih berfungsi dengan baik. Untuk apa pun yang melibatkan adversari, keduanya tidak aman.

Haruskah saya khawatir tentang komputer kuantum yang memecahkan SHA-256?

Kurang dari yang Anda mungkin pikirkan. Algoritma Grover mempercepat serangan praimage terhadap hash 256-bit dari 2²⁵⁶ ke 2¹²⁸ pekerjaan klasik-setara, yang masih efektif tidak mungkin. Primitif simetris (hash, AES) bertahan dari komputasi kuantum dengan menggandakan ukuran kunci/output. Kriptografi kunci publik (RSA, ECDSA) adalah apa yang jatuh keras pada serangan kuantum, oleh karena itu standar pasca-kuantum NIST diterbitkan pada Agustus 2024 (ML-KEM, ML-DSA, SLH-DSA). Jika Anda menggunakan SHA-256 hari ini, SHA-512 di era pasca-kuantum akan lebih dari cukup.

Apa perbedaan antara hash dan HMAC?

Sebuah hash (SHA-256) tanpa kunci: siapa pun yang memiliki input dapat menghitung output yang sama. Sebuah HMAC (Hash-based Message Authentication Code) membungkus hash dengan kunci rahasia, sehingga hanya seseorang yang mengetahui kunci yang dapat menghitung atau memverifikasi tag. Didefinisikan dalam RFC 2104 (1997), HMAC adalah cara standar untuk «menandatangani» pesan secara simetris (pengirim dan penerima berbagi rahasia). Gunakan HMAC-SHA256 untuk tanda tangan webhook, JWT HS256, tanda tangan permintaan API. SHA-256 polos pada secret + message tidak aman karena ekstensi panjang.

Mengapa pustaka berbeda memberikan hash berbeda untuk string yang sama?

Tiga penyebab umum. Pertama, pengkodean karakter: UTF-8 vs UTF-16 vs Latin-1 memberikan byte berbeda untuk string non-ASCII, oleh karena itu hash berbeda. Selalu encode secara eksplisit. Kedua, akhir baris: "hello\n" dan "hello\r\n" menghash secara berbeda; checksum file Windows-vs-Unix sering berbeda karena alasan ini. Ketiga, format output: hex huruf kecil vs hex huruf besar vs base64 terlihat seperti nilai yang berbeda tetapi mewakili byte yang sama. Normalkan format input dan output sebelum membandingkan.

Apakah input saya dikirim ke server ketika saya hash di sini?

Tidak. Keempat hash dihitung di browser Anda menggunakan Web Crypto API bawaan (crypto.subtle.digest). Buka tab Jaringan di DevTools dan ketik di input, Anda akan melihat nol permintaan keluar. Aman untuk kredensial, token, atau nilai pribadi apa pun yang ingin Anda hash tanpa meninggalkan perangkat Anda.

Alat terkait

Generator Hash Gratis Generator JWT Gratis Generator UUID Gratis Base64 Encoder & Decoder Online Gratis