Apa itu hash? MD5, checksum, dan kenapa kata sandi tak di-hash dengannya

Fungsi hash menerima masukan apa pun, entah sepatah kata, sebuah berkas, atau satu basis data utuh, lalu menghasilkan string pendek dengan panjang tetap yang disebut hash atau digest. MD5 selalu menghasilkan 32 karakter heksadesimal, mau yang kamu masukkan cuma satu huruf atau video satu gigabyte. Masukan yang sama selalu menghasilkan keluaran yang sama, tapi perubahan sekecil apa pun pada masukan langsung mengacak hasilnya total. Gabungan dua sifat inilah yang bikin hashing sangat berguna.

Hashing itu satu arah

Beda dengan encoding atau enkripsi, hash nggak bisa dibalik. Nggak ada kunci yang bisa mengubah digest kembali jadi masukan aslinya, karena proses hashing memang membuang sebagian informasi: banyak masukan berbeda bisa berujung ke keluaran berukuran sama. Sifat satu arah inilah intinya: kamu bisa membuktikan bahwa kamu tahu suatu nilai cukup dengan menunjukkan hash-nya, tanpa harus membeberkan nilai aslinya.

MD5 masih oke buat apa

MD5 itu cepat dan masih sangat oke dipakai sebagai checksum, yaitu cara mendeteksi perubahan yang nggak disengaja. Misalnya kamu unduh berkas besar, lalu bandingkan MD5-nya dengan yang dicantumkan penerbitnya; kalau sama, berkasnya hampir pasti utuh sampai tujuan. MD5 juga berguna buat mencari berkas duplikat, atau sebagai sidik jari cepat dan kunci cache yang nggak menyangkut keamanan. Untuk menangkap kesalahan biasa dan kerusakan data, MD5 masih layak diandalkan.

Kenapa jangan untuk kata sandi atau keamanan

Untuk urusan keamanan, MD5 sudah dianggap jebol. Peneliti bisa sengaja membuat dua masukan berbeda yang menghasilkan hash yang sama persis, namanya collision, dan ini menghancurkan kegunaannya buat memverifikasi keaslian. Ditambah lagi, karena MD5 sangat cepat, penyerang bisa menebak miliaran kata sandi per detik, meng-hash tiap tebakan lalu mencocokkannya dengan MD5 yang dicuri. Sistem penyimpanan kata sandi modern memakai algoritma yang sengaja dibuat lambat dan ber-salt seperti bcrypt atau Argon2, yang memang dirancang untuk menahan serangan semacam ini.

• MD5 cocok buat: checksum berkas, mendeteksi duplikat, kunci cache, dan sidik jari yang nggak menyangkut keamanan.
• Jangan pakai MD5 buat: kata sandi, tanda tangan digital, atau apa pun yang mungkin ingin dipalsukan penyerang.
• Untuk kebutuhan keamanan sekarang, pakai SHA-256 untuk integritas data, dan bcrypt atau Argon2 untuk kata sandi.

Kamu bisa melatih intuisi ini lewat generator MD5 kami: hash sebuah kata, lalu ubah satu huruf saja, dan lihat seluruh digest-nya berubah total. Setelah itu bandingkan dengan Base64 yang sekilas mirip tapi sebenarnya bisa dibalik sepenuhnya, biar kelihatan jelas bahwa hash dan encoding itu menyelesaikan dua masalah yang berlawanan. Keduanya jalan secara lokal, jadi apa pun yang kamu ketik tetap di perangkatmu.