Posso usare MD5 per memorizzare password?

No. MD5 è crittograficamente compromesso dal 2008 — esistono attacchi di collisione pratici. Per le password, usa Argon2id (raccomandazione attuale OWASP), bcrypt o scrypt — algoritmi progettati per essere lenti, con salt automatico, resistenti alle rainbow table. MD5 va ancora bene solo per verifica di integrità non avversariale (e anche in quel caso SHA-256 è meglio).

Qual è la differenza tra SHA-1, SHA-256 e SHA-512?

SHA-1 produce 160 bit, SHA-256 produce 256 bit, SHA-512 produce 512 bit. SHA-1 è deprecato (Google ha dimostrato collisione pratica nel 2017). SHA-256 è l'attuale standard di settore — usato in Bitcoin, certificati SSL/TLS, internals di Git. SHA-512 è più lento ma offre più bit — preferito in sistemi che necessitano margine extra contro attacchi futuri.

L'hash può essere invertito al testo originale?

No. L'hash è una funzione unidirezionale — calcolare l'hash dal testo è veloce, ma dato l'hash, recuperare il testo richiede brute force provando tutte le combinazioni possibili. Per hash lunghi (SHA-256, SHA-512) questo è computazionalmente irrealizzabile. Ma l'hash di password comuni o frasi brevi può essere violato con rainbow table se non c'è salt.

Perché lo stesso testo genera lo stesso hash?

Perché gli hash sono funzioni deterministiche: input identico produce output identico, sempre. Ecco perché funzionano per la verifica di integrità — qualsiasi cambiamento nell'input produce un output completamente diverso. Per evitare prevedibilità nella memorizzazione delle password, aggiungi sempre un salt univoco per utente prima dell'hashing.

Qual è la differenza tra hash e cifratura?

L'hash è unidirezionale: va da testo a digest ma non viceversa. La cifratura è bidirezionale: usa una chiave per andare da plaintext a ciphertext e viceversa. L'hash serve per verifica e identificazione; la cifratura serve per riservatezza. AES è cifratura simmetrica standard; RSA è asimmetrica; SHA-256 è hash. Confonderli è un errore grave.

Come generare HMAC con SHA-256?

HMAC (Hash-based Message Authentication Code) combina hash con chiave segreta per firmare messaggi. Questo strumento genera hash semplice; per HMAC usa Web Crypto API con window.crypto.subtle.sign('HMAC', key, data). I webhook di Stripe, GitHub, Shopify usano HMAC-SHA256 per autenticare i payload ricevuti.

0 di 3 utilizzi oggi · 3 rimanenti. Passa a Pro e rimuovi il limite.

Aggiorna

Generatore di Hash

MD5 · SHA-1 · SHA-256 · SHA-512 — testo o file, elaborazione locale.

Processado no seu navegador

Tipo di input

Testo da sottoporre a hash

In attesa di testo…

Digita testo per generare gli hash.

Web Crypto. SHA-1/256/512 tramite crypto.subtle.digest() (crittograficamente verificato). MD5 tramite SparkMD5 (legacy, sconsigliato per sicurezza). Tutto locale — il file non lascia mai il browser.

Sobre

Cos'è un generatore di hash MD5/SHA-1/SHA-256?

Por Quorify EditorialAtualizado em 3 de junho de 2026

Il Generatore di Hash di Quorify produce hash crittografici MD5, SHA-1, SHA-256, SHA-384 e SHA-512 da qualsiasi testo. Utile per verificare l'integrità dei file, confrontare payload, generare impronte deterministiche e debuggare sistemi che dipendono da checksum. Il calcolo utilizza la Web Crypto API del browser — algoritmi certificati secondo FIPS 180-4 (NIST) e RFC 1321. Attenzione: l'hash NON è cifratura — non c'è modo di tornare dall'hash al testo originale. E gli hash MD5/SHA-1 sono crittograficamente compromessi per uso di sicurezza (usa Argon2 o bcrypt per le password — vedi OWASP). Parte del kit dev di Quorify: combina con il JSON Formatter per verificare l'integrità dei payload API e con il Generatore UUID per identificatori univoci.

Casos

Quando usarlo

Verificare l'integrità di un file scaricato da internet — confrontando lo SHA-256 fornito dall'editore con quello generato localmente.
Generare ETag cache per risposta API — l'hash del payload garantisce invalidazione solo quando i dati cambiano.
Creare chiave di cache deterministica (memoization) basata sui parametri di funzione.
Debuggare un sistema legacy che usa MD5 — visualizzando esattamente quale hash viene generato.
Validare webhook ricevuto con firma HMAC-SHA256 — testando localmente prima di distribuire l'handler.

Método

Come funziona il calcolo

Lo strumento utilizza la Web Crypto API nativa del browser (window.crypto.subtle.digest), che implementa gli standard NIST FIPS 180-4 (SHA-1/224/256/384/512) e l'algoritmo MD5 secondo RFC 1321. Il testo di input viene convertito in byte UTF-8 prima dell'hashing — nota che cambiare una singola lettera produce un hash completamente diverso (effetto valanga). Gli hash sono deterministici: lo stesso input produce sempre lo stesso output. Per sicurezza critica (password, token), MD5/SHA-1 sono compromessi e devono essere sostituiti da Argon2id, bcrypt o scrypt — algoritmi volutamente lenti, resistenti agli attacchi brute-force. Per verifica di integrità, SHA-256 è ancora sicuro e standard di settore.

FAQ

Domande frequenti

Posso usare MD5 per memorizzare password?: No. MD5 è crittograficamente compromesso dal 2008 — esistono attacchi di collisione pratici. Per le password, usa Argon2id (raccomandazione attuale OWASP), bcrypt o scrypt — algoritmi progettati per essere lenti, con salt automatico, resistenti alle rainbow table. MD5 va ancora bene solo per verifica di integrità non avversariale (e anche in quel caso SHA-256 è meglio).
Qual è la differenza tra SHA-1, SHA-256 e SHA-512?: SHA-1 produce 160 bit, SHA-256 produce 256 bit, SHA-512 produce 512 bit. SHA-1 è deprecato (Google ha dimostrato collisione pratica nel 2017). SHA-256 è l'attuale standard di settore — usato in Bitcoin, certificati SSL/TLS, internals di Git. SHA-512 è più lento ma offre più bit — preferito in sistemi che necessitano margine extra contro attacchi futuri.
L'hash può essere invertito al testo originale?: No. L'hash è una funzione unidirezionale — calcolare l'hash dal testo è veloce, ma dato l'hash, recuperare il testo richiede brute force provando tutte le combinazioni possibili. Per hash lunghi (SHA-256, SHA-512) questo è computazionalmente irrealizzabile. Ma l'hash di password comuni o frasi brevi può essere violato con rainbow table se non c'è salt.
Perché lo stesso testo genera lo stesso hash?: Perché gli hash sono funzioni deterministiche: input identico produce output identico, sempre. Ecco perché funzionano per la verifica di integrità — qualsiasi cambiamento nell'input produce un output completamente diverso. Per evitare prevedibilità nella memorizzazione delle password, aggiungi sempre un salt univoco per utente prima dell'hashing.
Qual è la differenza tra hash e cifratura?: L'hash è unidirezionale: va da testo a digest ma non viceversa. La cifratura è bidirezionale: usa una chiave per andare da plaintext a ciphertext e viceversa. L'hash serve per verifica e identificazione; la cifratura serve per riservatezza. AES è cifratura simmetrica standard; RSA è asimmetrica; SHA-256 è hash. Confonderli è un errore grave.
Come generare HMAC con SHA-256?: HMAC (Hash-based Message Authentication Code) combina hash con chiave segreta per firmare messaggi. Questo strumento genera hash semplice; per HMAC usa Web Crypto API con window.crypto.subtle.sign('HMAC', key, data). I webhook di Stripe, GitHub, Shopify usano HMAC-SHA256 per autenticare i payload ricevuti.

Mais

Strumenti correlati

Fontes

Fonti ufficiali

Tabelas, leis e referências consultadas para fundamentar esta ferramenta.

Standard internazionaleRFC 1321 (1992)IETF · Internet Engineering Task Force
RFC 1321 — The MD5 Message-Digest Algorithm
Specifica originale dell'algoritmo di hash crittografico MD5. Oggi considerato compromesso per uso di sicurezza, ma ancora utilizzato per verifica di integrità.
Consultar fonte oficial
Standard federale (USA)FIPS 180-4 (2015)NIST · National Institute of Standards and Technology
FIPS 180-4 — Secure Hash Standard (SHS)
Standard federale statunitense che definisce gli algoritmi SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 — riferimento per hashing crittografico nei sistemi moderni.
Consultar fonte oficial
Guida di sicurezzaVigenteOWASP Foundation
OWASP Password Storage Cheat Sheet
Raccomandazioni OWASP sulla scelta di algoritmi di hash per password (Argon2, bcrypt, PBKDF2) e quando usare SHA-256 vs hashing specializzato.
Consultar fonte oficial

Metodologia — esta ferramenta consulta as tabelas e legislação vigentes nas fontes acima. As regras são atualizadas conforme novas instruções normativas são publicadas pelos órgãos competentes.

Última verificação editorial: junho de 2026.

SponsorizzatoQuorify · piano gratuito

Quorify Pro

Usa Quorify senza limiti

100 usi/giorno su tutti i 125 strumenti · senza pubblicità · cronologia illimitata

A partire da$4.08/mo

Vedi piani

Compartilhe

SponsorizzatoQuorify · piano gratuito

Quorify Pro

Usa Quorify senza limiti

100 usi/giorno su tutti i 125 strumenti · senza pubblicità · cronologia illimitata

A partire da$4.08/mo

Vedi piani

Correlati

Strumenti correlati

toolLayout.related_description

Pro

JSON in CSV

Esporta perfettamente array di dati JSON in fogli di calcolo CSV.

Pro

Decodificatore JWT

Ispeziona ed esegui il debug dei payload dei token Web JSON.

Gratis

Minimizzatore CSS

Ottimizza i fogli di stile CSS per la massima velocità.

Gratis

Minificatore JS

Riduci indolore le dimensioni del payload Javascript Vanilla.

Gratis

Minificatore HTML

Comprimi il tuo output HTML rimuovendo lo spazio morto per risparmiare larghezza di banda.

Gratis

Editor Markdown

Scrivi e visualizza in anteprima Markdown in stile Github in tempo reale.