У меня есть приложение, исходный код которого зарегистрирован в общедоступном репозитории. Этот исходный код включает файлы конфигурации, и в этих файлах конфигурации хранятся хешированные пароли SHA-256.
Насколько я понимаю, когда дело доходит до хешированных паролей, конечному пользователю на самом деле не нужно вводить пароль, который вы использовали для генерации хеш-кода, а должен вводить любой пароль, который генерирует такое же хеш-значение. Я считаю, что это называется столкновением.
Итак, могу ли я публично отображать свои хешированные пароли с разумной уверенностью, что кто-то не сможет взять этот хеш и затем сгенерировать пароль (или сгенерировать коллекцию), который можно использовать для доступа к моему приложению? Это гарантия, которую пытаются дать эти алгоритмы хеширования?
sha2('letmein')
. Обычные / простые пароли мгновенно попадут в любую базовую программу проверки паролей. - person Marc B   schedule 30.07.2012