¿Por qué MD5 y SHA-1 están marcados como "débiles"?

Ambos tienen colisiones prácticas (entradas distintas que producen el mismo hash). MD5 está roto desde 2004 y SHA-1 desde 2017. No los uses para autenticación, firmas digitales o certificados en sistemas nuevos. Siguen siendo aceptables para sumas de verificación de archivos (sin actor malicioso) y para compatibilidad con código heredado.

¿Cuál es la diferencia entre MySQL 4.1+ y MySQL OLD_PASSWORD?

MySQL OLD_PASSWORD es un algoritmo anterior a 2004 que se usaba en MySQL 3.23 y anteriores: produce un hash de 16 caracteres y está totalmente roto. MySQL 4.1+ usa SHA1(SHA1(password)) con el prefijo "*"; sigue siendo inseguro para sistemas nuevos (sin sal, sin función lenta), pero a día de hoy es el valor por defecto en muchas instalaciones de MySQL/MariaDB. Los sistemas modernos deben usar caching_sha2_password (MySQL 8.0+) o bcrypt/argon2 a nivel de aplicación.

¿Por qué no hay bcrypt, scrypt o argon2?

Son algoritmos intencionadamente lentos con sal y no encajan en una generación en vivo en el navegador (cada hash tarda 100-1000 ms). Además requieren una sal aleatoria por hash, así que dos llamadas con la misma contraseña producen salidas distintas. Esos algoritmos deben calcularse en el backend durante la autenticación, no en una herramienta de conversión. Para afinar el cost factor de bcrypt en tu servidor usa el [analizador de coste de bcrypt](/es/analizador-coste-bcrypt). Para cifrado simétrico de datos arbitrarios usa [cifrar / descifrar AES](/es/cifrado-aes).

El hash de mi base de datos no coincide, ¿por qué?

Causas típicas: (1) la base de datos usa una sal que no conoces (cada sal → hash distinto); (2) la base de datos usa un dialecto, por ejemplo password_hash de PHP por defecto usa bcrypt con prefijo $2y$, no SHA-1 plano; (3) la contraseña tiene una pequeña variación (espacios, mayúsculas). Consulta la documentación de tu base de datos para conocer el algoritmo y parámetros exactos.

Hashes de contraseñas: MD5, SHA, bcrypt

16 algoritmos: MD4, MD5, SHA, SHA-3, RIPEMD, MySQL, NTLM, HMAC, bcrypt, con sal opcional.

LiveFunciona en tu navegador

Hashes de contraseña

Escribe una contraseña y mira 16 formatos de hash populares lado a lado. Sal opcional (prefijo/sufijo), clave HMAC y bcrypt con rondas configurables. Todo en local.

Contraseña para hashear

Filtros por familia

Elige qué familias de algoritmos aparecen en los resultados.

MD2tools.passwordHash.badges.weak

-

MD4tools.passwordHash.badges.weak

-

MD5tools.passwordHash.badges.weak

-

NTLMtools.passwordHash.badges.legacy

-

SHA-1tools.passwordHash.badges.weak

-

SHA-224

-

SHA-256

-

Double SHA-256

-

SHA-384

-

SHA-512

-

SHA-512/224

-

SHA-512/256

-

Whirlpool

-

CRC32tools.passwordHash.badges.checksum

-

MySQL 4.1+tools.passwordHash.badges.legacy

-

MySQL OLDtools.passwordHash.badges.weak

-

La contraseña, la sal, la clave HMAC y todos los hashes nunca salen de tu navegador.

MD4, MD5 y SHA-1 están criptográficamente rotos: úsalos solo para migrar sistemas antiguos. Para nuevas aplicaciones elige SHA-256+, SHA3, bcrypt o argon2.

Convierte una contraseña en los formatos de hash más habituales. Escribe una contraseña y la herramienta calcula MD5, SHA-1, SHA-256, SHA-384, SHA-512, MySQL 4.1+ y el antiguo MySQL OLD_PASSWORD, todo en local. Todo el cómputo ocurre en tu navegador: la contraseña nunca sale de tu equipo.

Cómo usarlo

Escribe una contraseña en el campo superior. Está oculta por defecto: pulsa el icono del ojo para mostrarla.
Todos los hashes se actualizan en vivo mientras escribes.
Pulsa el icono de copiar junto a cualquier hash para pegarlo en otro sitio.
Algunos algoritmos (MD5, SHA-1) están marcados como "débil": úsalos solo para migraciones de sistemas antiguos o para depurar, nunca en aplicaciones nuevas.

Casos de uso

Migrar usuarios entre sistemas con distintos formatos de hash. Depurar por qué un hash de la base de datos no coincide con lo esperado (ver todas las variantes juntas). Probar la autenticación de una app. Verificar un hash en un archivo de configuración de MySQL. Formación: mostrar las diferencias entre familias de algoritmos.

Preguntas frecuentes

No. Todos los hashes se calculan en local. SHA-1/256/384/512 y MySQL 4.1+ usan la Web Crypto API (crypto.subtle.digest). MD5 usa una pequeña librería JS empaquetada (~7 KB). MySQL OLD_PASSWORD tiene su propia implementación en JS puro. Abre DevTools > Network y no verás ninguna petición.

Quizá también te interese

Herramientas relacionadas

Generador de contraseñas

Crea contraseñas fuertes y aleatorias de forma criptográfica, sin que salgan del navegador.

Comprobador de contraseñas filtradas

Comprueba si tu contraseña se ha filtrado, sin enviarla a ninguna parte.