เครื่องมือแฮชของ ToolDeck ช่วยให้คุณสร้างและระบุแฮชทางเข้ารหัสลับได้โดยตรงในเบราว์เซอร์ เลือกใช้ตัวสร้าง MD5, SHA-1, SHA-256, SHA-384, SHA-512 และ HMAC หรือใช้ ตัวระบุแฮช เพื่อตรวจจับอัลกอริทึมจากสตริงแฮชที่ไม่รู้จัก การคำนวณทั้งหมดทำงานบนฝั่งไคลเอนต์โดยใช้ Web Crypto API SHA-256 เป็นตัวเลือกมาตรฐานสำหรับการตรวจสอบความสมบูรณ์ของไฟล์และการยืนยันทั่วไป SHA-512 และ SHA-384 ให้ระดับความปลอดภัยที่สูงกว่าสำหรับข้อมูลที่ละเอียดอ่อนและแอตทริบิวต์ Subresource Integrity HMAC รวมอัลกอริทึมแฮชใด ๆ เข้ากับ secret ที่ใช้ร่วมกัน เพื่อสร้างรหัสการตรวจสอบข้อความสำหรับลายเซ็น API ตัวระบุแฮชรองรับกว่า 250 รูปแบบแฮชจากการวางข้อมูลครั้งเดียว ทุกเครื่องมือทำงานในเบราว์เซอร์ของคุณโดยไม่ต้องติดตั้ง ไม่ต้องสมัครสมาชิก และไม่ส่งข้อมูลไปยังเซิร์ฟเวอร์ใด ๆ
เครื่องมือแฮชคืออะไร?
ฟังก์ชันแฮชทางเข้ารหัสลับเป็นการแปลงทางคณิตศาสตร์แบบทางเดียว ที่แปลงข้อมูลอินพุตที่มีความยาวใด ๆ ให้เป็นค่าย่อยขนาดคงที่ อินพุตเดิมจะได้ผลลัพธ์เดิมเสมอ (determinism) แต่แม้แต่ไบต์เดียวที่เปลี่ยนแปลงจะให้ค่าย่อยที่แตกต่างออกไปอย่างสิ้นเชิง ซึ่งเรียกว่า avalanche effect ฟังก์ชันแฮชถูกออกแบบให้การกู้คืนอินพุตต้นฉบับจากค่าย่อยเพียงอย่างเดียวเป็นไปไม่ได้ในทางปฏิบัติ
เครื่องมือแฮชถูกนำมาใช้ทั่วการพัฒนาซอฟต์แวร์เพื่อการตรวจสอบความสมบูรณ์ของข้อมูล การจัดเก็บรหัสผ่าน ลายเซ็นดิจิทัล และการกำจัดเนื้อหาซ้ำซ้อน เมื่อคุณดาวน์โหลดไฟล์ไบนารี checksum ของ SHA-256 จะยืนยันว่าไฟล์ไม่ได้เสียหายระหว่างการส่ง เมื่อ Git จัดเก็บ commit จะใช้ SHA-1 (กำลังเปลี่ยนไปใช้ SHA-256) เพื่อระบุทุกอ็อบเจกต์ตามเนื้อหา เมื่อเซิร์ฟเวอร์จัดเก็บรหัสผ่าน จะใช้อัลกอริทึมที่ช้าและใช้หน่วยความจำสูง เช่น bcrypt หรือ Argon2 ซึ่งได้มาจากฟังก์ชันแฮชพื้นฐานเหล่านี้ เพื่อต้านทานการโจมตีแบบ brute-force
อัลกอริทึมต่าง ๆ มีขนาดผลลัพธ์และการรับประกันความปลอดภัยที่แตกต่างกัน MD5 และ SHA-1 ถูกทำลายทางด้านการเข้ารหัสลับสำหรับวัตถุประสงค์ด้านความปลอดภัย ซึ่งการโจมตีแบบ collision ได้รับการพิสูจน์แล้วในทางปฏิบัติ แต่ยังคงถูกใช้กันอย่างแพร่หลายสำหรับ checksum และตัวระบุที่ไม่เกี่ยวกับความปลอดภัย SHA-256 และ SHA-512 จากตระกูล SHA-2 ที่ได้มาตรฐานใน NIST FIPS 180-4 เป็นมาตรฐานปัจจุบันสำหรับแอปพลิเคชันที่ต้องการความปลอดภัยสูง HMAC เพิ่ม secret key ให้กับฟังก์ชันแฮชใด ๆ เพื่อเปิดใช้งานการตรวจสอบข้อความที่พิสูจน์ทั้งความสมบูรณ์และความถูกต้อง
ทำไมต้องใช้เครื่องมือแฮชบน ToolDeck?
เครื่องมือแฮชของ ToolDeck สร้างขึ้นสำหรับนักพัฒนาที่ต้องการสร้างแฮชอย่างรวดเร็วและแม่นยำโดยไม่ต้องอัปโหลดข้อมูลไปยังบริการภายนอก ทุกอัลกอริทึมทำงานในเบราว์เซอร์โดยใช้ Web Crypto API หรือ JavaScript ล้วน อินพุตของคุณไม่เคยออกจากอุปกรณ์
🔒การสร้างแฮชที่เน้นความเป็นส่วนตัว
ข้อมูลอินพุตของคุณไม่ถูกส่งไปยังเซิร์ฟเวอร์ใด ๆ การแฮชทั้งหมดทำงานในเบราว์เซอร์ของคุณ วาง credentials, tokens หรือสตริงที่ละเอียดอ่อนโดยไม่มีความเสี่ยงต่อการเปิดเผย
🌐ความแม่นยำของ Web Crypto API
SHA-256, SHA-384 และ SHA-512 ใช้ Web Crypto API ดั้งเดิมของเบราว์เซอร์ ซึ่งเป็นการใช้งานเดียวกันกับที่ใช้ใน TLS และการเข้ารหัสลับระดับระบบปฏิบัติการ ไม่ใช่การนำไปใช้งานใน JavaScript ใหม่ที่อาจแตกต่างจากการใช้งานจริง
⚡เจ็ดอัลกอริทึม หนึ่งอินเทอร์เฟซ
MD5, SHA-1, SHA-256, SHA-384, SHA-512, HMAC และตัวระบุแฮชสามารถเข้าถึงได้ผ่านอินเทอร์เฟซที่สอดคล้องกัน ไม่ต้องสลับระหว่างเครื่องมือหรือบริการต่าง ๆ
🛡️ผลลัพธ์ทันที ไม่จำกัด
การสร้างแฮชเกือบจะทันทีสำหรับอินพุตทั่วไป ไม่มีการจำกัดอัตรา ไม่มีโควต้า ไม่ต้องเข้าสู่ระบบ ทุกเครื่องมือทำงานแบบออฟไลน์หลังจากโหลดหน้าเว็บแล้ว
กรณีการใช้งานเครื่องมือแฮช
แฮชทางเข้ารหัสลับปรากฏตลอดวงจรชีวิตการพัฒนาซอฟต์แวร์ ตั้งแต่การตรวจสอบการดาวน์โหลดไปจนถึงการลงนามคำขอ API และการดีบัก Git internals ต่อไปนี้คือสถานการณ์ทั่วไปที่เครื่องมือเหล่านี้ช่วยประหยัดเวลา
ความปลอดภัย API และลายเซ็น HMAC
ตรวจสอบลายเซ็นคำขอ HMAC-SHA256 เมื่อดีบักการผสานรวม webhook กับ Stripe, GitHub หรือ Shopify สร้างลายเซ็นที่คาดหวังในเครื่องและเปรียบเทียบกับส่วนหัว X-Hub-Signature-256 เพื่อวินิจฉัยความล้มเหลวในการตรวจสอบสิทธิ์
การตรวจสอบความสมบูรณ์ของไฟล์
คำนวณ checksum SHA-256 สำหรับไบนารีที่ดาวน์โหลด, Docker images หรือ package archives เปรียบเทียบกับ checksum ที่ผู้เผยแพร่ประกาศไว้เพื่อยืนยันว่าไฟล์ไม่ได้เสียหายหรือถูกแก้ไขระหว่างการส่ง
การดีบัก Hash ของรหัสผ่าน
ทดสอบว่า pipeline การแฮชของแอปพลิเคชันของคุณให้ผลลัพธ์ที่ถูกต้อง สร้าง digest SHA-256 หรือ MD5 ของอินพุตที่รู้จักเพื่อตรวจสอบตรรกะการแฮชก่อนเขียน integration tests
การดีบัก Git Object
Git ใช้ SHA-1 (และ SHA-256 มากขึ้นเรื่อย ๆ) เพื่อระบุ commits, trees และ blobs ตามเนื้อหา สร้างแฮช SHA-1 ของข้อมูล object ดิบเพื่อทำความเข้าใจว่าการจัดเก็บแบบ content-addressable ของ Git กำหนด object IDs อย่างไร
Subresource Integrity (SRI)
สร้างแฮช SHA-384 หรือ SHA-512 สำหรับไฟล์ JavaScript และ CSS ที่โฮสต์บน CDN เพื่อใส่ในแอตทริบิวต์ integrity บนแท็ก script และ link ซึ่งป้องกันไม่ให้ CDN ที่ถูกโจมตีแทรกโค้ดที่เป็นอันตรายเข้าสู่หน้าเว็บของคุณ
การตรวจสอบความปลอดภัยและนิติวิทยาศาสตร์
ระบุสตริงแฮชที่ไม่รู้จักจาก log files, database dumps หรือ network traffic ที่จับมาได้โดยใช้เครื่องมือตัวระบุแฮช กำหนดว่าสตริงนั้นเป็น MD5, SHA-1, SHA-256 หรืออัลกอริทึมอื่นจากความยาวและชุดอักขระ
อ้างอิงอัลกอริทึมแฮช
ตารางด้านล่างครอบคลุมอัลกอริทึมทั้งหมดที่มีใน ToolDeck ความยาวผลลัพธ์เป็นปัจจัยที่แตกต่างหลักๆ โดยตัวระบุแฮชใช้ความยาวเหล่านี้เพื่อตรวจจับประเภทอัลกอริทึมจากสตริงแฮชที่ไม่รู้จัก
| อัลกอริทึม | บิต | ความยาว Hex | ตระกูล | สถานะ | การใช้งานหลัก |
|---|
| MD5 | 128 | 32 | MD | บกพร่อง (collision) | Checksum, cache keys, การกำจัดข้อมูลซ้ำที่ไม่เกี่ยวกับความปลอดภัย |
| SHA-1 | 160 | 40 | SHA-1 | เลิกใช้งานแล้ว | Git (legacy), checksum แบบเดิม, ห่วงโซ่ certificate |
| SHA-256 | 256 | 64 | SHA-2 | ปลอดภัย | รหัสผ่าน, TLS 1.3, Bitcoin, Subresource Integrity |
| SHA-384 | 384 | 96 | SHA-2 | ปลอดภัย | TLS certificates, แฮช Subresource Integrity |
| SHA-512 | 512 | 128 | SHA-2 | ปลอดภัย | การจัดเก็บที่ต้องการความปลอดภัยสูง, SSH host keys |
| HMAC | แปรผัน | แปรผัน | Keyed MAC | ปลอดภัย (keyed) | ลายเซ็น API, การตรวจสอบ webhook |
บกพร่อง = การโจมตีแบบ collision ได้รับการพิสูจน์แล้วในทางปฏิบัติ เลิกใช้งานแล้ว = หลีกเลี่ยงสำหรับโค้ดใหม่ที่ต้องการความปลอดภัย ปลอดภัย = ไม่มีการโจมตีในทางปฏิบัติที่ทราบ ณ ปี 2026
วิธีเลือกเครื่องมือแฮชที่เหมาะสม
งานแฮชที่แตกต่างกันต้องการอัลกอริทึมที่แตกต่างกัน ใช้คู่มือนี้เพื่อจับคู่กรณีการใช้งานของคุณกับเครื่องมือที่ถูกต้อง
- 1
หากคุณต้องการ ตรวจสอบ checksum ไฟล์ ลงนามข้อมูล API หรือทำงานกับ TLS certificates → เครื่องสร้าง SHA-256 - 2
หากคุณต้องการ สร้างแฮชด้วยความแข็งแกร่ง SHA-2 สูงสุดสำหรับการจัดเก็บที่ต้องการความปลอดภัยสูงหรือ SSH keys → เครื่องสร้าง SHA-512 - 3
หากคุณต้องการ สร้างแฮช Subresource Integrity (SRI) สำหรับ JavaScript หรือ CSS ที่โฮสต์บน CDN → เครื่องสร้าง SHA-384 - 4
หากคุณต้องการ สร้าง checksum MD5 แบบ legacy, cache key หรือตัวระบุการกำจัดข้อมูลซ้ำที่ไม่เกี่ยวกับความปลอดภัย → เครื่องสร้าง MD5 - 5
หากคุณต้องการ คำนวณแฮช SHA-1 สำหรับความเข้ากันได้กับ Git object หรือ codebase แบบ legacy → เครื่องสร้าง SHA-1 - 6
หากคุณต้องการ ตรวจสอบลายเซ็น webhook HMAC-SHA256 จาก Stripe, GitHub หรือ Shopify → เครื่องสร้าง HMAC - 7
หากคุณต้องการ ระบุอัลกอริทึมที่ใช้สร้างสตริงแฮชที่ไม่รู้จัก → ตัวระบุแฮช
เมื่อสร้างระบบใหม่ ให้ใช้ SHA-256 เป็นค่าเริ่มต้นสำหรับการแฮชทั่วไปและ HMAC-SHA256 สำหรับการแฮชข้อความที่ต้องการการตรวจสอบสิทธิ์ หลีกเลี่ยง MD5 และ SHA-1 ในบริบทที่ต้องการความปลอดภัย ใช้เฉพาะสำหรับ checksum ที่ไม่เกี่ยวกับความปลอดภัยซึ่งต้องการความเข้ากันได้กับ legacy เท่านั้น
คำถามที่พบบ่อย
ความแตกต่างระหว่างการแฮชและการเข้ารหัสคืออะไร?
การแฮชเป็นการดำเนินการทางเดียว ฟังก์ชันแฮชแปลงอินพุตใด ๆ เป็นค่าย่อยขนาดคงที่ และคุณไม่สามารถกู้คืนอินพุตต้นฉบับจากค่าย่อยได้ การเข้ารหัสเป็นสองทาง ข้อมูลที่เข้ารหัสสามารถถอดรหัสได้ด้วย key ที่ถูกต้อง ฟังก์ชันแฮชใช้สำหรับการตรวจสอบความสมบูรณ์และลายเซ็นดิจิทัล การเข้ารหัสใช้สำหรับการรักษาความลับของข้อมูล อย่าใช้ฟังก์ชันแฮชแทนการเข้ารหัสเมื่อคุณต้องการกู้คืนข้อมูลต้นฉบับ
MD5 ปลอดภัยที่จะใช้หรือไม่?
MD5 ถูกทำลายทางด้านการเข้ารหัสลับในด้าน collision resistance นักวิจัยได้พิสูจน์ในปี 2004 ว่าสามารถสร้างอินพุตที่แตกต่างสองชุดที่ให้แฮช MD5 เดียวกันได้ภายในวินาที MD5 ต้องไม่ใช้สำหรับลายเซ็นดิจิทัล, TLS certificates หรือการแฮชรหัสผ่าน ยังคงยอมรับได้สำหรับกรณีที่ไม่เกี่ยวกับความปลอดภัย เช่น checksum ไฟล์สำหรับการตรวจจับข้อผิดพลาด, cache keys และตัวระบุการกำจัดเนื้อหาซ้ำ ซึ่งผู้โจมตีไม่สามารถใช้ประโยชน์จาก collision ได้
HMAC คืออะไร และควรใช้เมื่อใด?
HMAC (Hash-based Message Authentication Code) รวมฟังก์ชันแฮชทางเข้ารหัสลับกับ secret key ซึ่งพิสูจน์ทั้งว่าข้อความไม่ได้ถูกแก้ไข (ความสมบูรณ์) และมาจากผู้ที่รู้ key (ความถูกต้อง) ใช้ HMAC เมื่อตรวจสอบ webhook payloads จาก Stripe หรือ GitHub, ลงนามคำขอ AWS API (Signature Version 4) หรือตรวจสอบข้อความระหว่างบริการต่าง ๆ HMAC-SHA256 เป็นตัวเลือกที่แนะนำสำหรับระบบใหม่
ทำไมอินพุตเดิมจึงสร้างแฮชเดิมเสมอ?
ฟังก์ชันแฮชเป็นการแปลงทางคณิตศาสตร์แบบ deterministic อินพุตที่กำหนดจะให้ผลลัพธ์เดียวเสมอผ่านอัลกอริทึมคงที่ คุณสมบัตินี้ทำให้แฮชมีประโยชน์สำหรับการยืนยัน หากคุณแฮชไฟล์วันนี้และพรุ่งนี้แล้วได้ค่าย่อยเดิม แสดงว่าไฟล์ไม่ได้เปลี่ยนแปลง ค่าย่อยทำหน้าที่เป็น fingerprint ขนาดคงที่ของข้อมูลอินพุต ไม่ว่าขนาดต้นฉบับของอินพุตจะเป็นเท่าไร
Hash collision คืออะไร?
Collision เกิดขึ้นเมื่ออินพุตที่แตกต่างสองชุดให้ผลลัพธ์แฮชเดียวกัน Collision ต้องมีอยู่ตามทฤษฎีเพราะฟังก์ชันแฮชแมปอินพุตไม่จำกัดไปยังผลลัพธ์จำกัด (หลักการ pigeonhole) ฟังก์ชันแฮชที่ปลอดภัยทำให้การค้นหา collision เป็นไปไม่ได้ในทางปฏิบัติ MD5 และ SHA-1 ถือว่าบกพร่องเพราะการโจมตีแบบ collision ในทางปฏิบัติได้รับการพิสูจน์แล้ว Wang et al. ทำลาย MD5 ในปี 2004 และการโจมตี SHAttered ทำลาย SHA-1 ในปี 2017
สามารถแฮชรหัสผ่านด้วย SHA-256 หรือ SHA-512 ได้หรือไม่?
ไม่ได้ ฟังก์ชันแฮชทั่วไปเช่น SHA-256 และ SHA-512 ถูกออกแบบให้เร็ว ผู้โจมตีที่มี GPU สามารถคำนวณได้หลายพันล้านครั้งต่อวินาที ทำให้การโจมตีแบบ brute-force และ dictionary เป็นไปได้ในทางปฏิบัติ สำหรับการจัดเก็บรหัสผ่าน ให้ใช้อัลกอริทึมที่สร้างขึ้นเพื่อวัตถุประสงค์นี้โดยเฉพาะ ได้แก่ bcrypt, scrypt หรือ Argon2id ซึ่งออกแบบให้ช้าและใช้หน่วยความจำสูงโดยเจตนา เพื่อต้านทานการโจมตีแบบ brute-force ในระดับขนาด อย่าจัดเก็บรหัสผ่านเป็น MD5 หรือ SHA แฮชธรรมดา
ตัวเลขใน SHA-256 หรือ SHA-512 หมายความว่าอะไร?
ตัวเลขหมายถึงขนาดผลลัพธ์ในบิต SHA-256 สร้างค่าย่อย 256 บิต แสดงเป็นอักขระ hexadecimal 64 ตัว (4 บิตต่อ hex digit: 256 ÷ 4 = 64) SHA-512 สร้างค่าย่อย 512 บิต (128 hex chars) ขนาดผลลัพธ์ที่ใหญ่กว่าหมายถึงค่าแฮชที่เป็นไปได้มากกว่าอย่างมาก แต่ละบิตที่เพิ่มขึ้นจะเพิ่มพื้นที่เป็นสองเท่า ทำให้ collision โดยบังเอิญและการโจมตีแบบ brute-force preimage ยากขึ้นอย่างทวีคูณ
แฮชทางเข้ารหัสลับแตกต่างจาก checksum ธรรมดาอย่างไร?
Checksum เช่น CRC32 ถูกปรับให้เหมาะสมสำหรับการตรวจจับข้อผิดพลาด ซึ่งเร็วและง่ายแต่ไม่มีการป้องกันการจงใจแก้ไข ผู้โจมตีสามารถสร้างไฟล์ที่ถูกแก้ไขซึ่งมี CRC32 เดิม แฮชทางเข้ารหัสลับเช่น SHA-256 ทนต่อ collision และ preimage การหาอินพุตสองชุดที่มีแฮชเดิม หรือการหาอินพุตที่แฮชไปยังเป้าหมายที่กำหนด ต้องใช้การคำนวณที่เป็นไปไม่ได้ในทางปฏิบัติ สำหรับการตรวจสอบการดาวน์โหลดที่กังวลเรื่องการแก้ไข ควรใช้แฮชทางเข้ารหัสลับเสมอ ไม่ใช่ checksum ธรรมดา