Password MD5: cara hash sebuah password dan kapan MD5 salah
"Password MD5" biasanya berarti salah satu dari dua pekerjaan pembaca: meng-hash string password yang diketahui menjadi sidik jari 32-hex, atau memulihkan password asli dari hash. Yang pertama adalah pekerjaan sekali jalan yang ditangani konverter MD5 dalam hitungan detik. Yang kedua tidak mungkin secara umum - dan untuk penyimpanan password yang sebenarnya, MD5 adalah primitif yang sepenuhnya salah.
Terakhir ditinjau: 2026-05-23
| Niat pembaca di balik "password MD5" | Apa yang sebenarnya dilakukan MD5 | Kemana |
|---|---|---|
| "Hash string password saya menjadi MD5 agar bisa disimpan atau dibandingkan" | Hashing satu kali teks hingga 990 karakter menjadi digest 32-hex. Input yang sama selalu menghasilkan output yang sama. | https://freetoolonline.com/developer-tools/md5-converter.html (tombol To MD5) |
| "Saya punya hash MD5 dan ingin password aslinya" | Tidak mungkin secara desain. Pencarian kamus dapat berhasil jika string yang sama sebelumnya dipasangkan - akan gagal untuk input apa pun yang belum pernah dilihat kamus. | Kapan pencarian MD5 sebenarnya bekerja |
| "Saya menyimpan password pengguna di database" | Primitif yang salah. MD5 cepat dan tanpa salt secara default, keduanya properti yang membuat brute-force offline layak di hardware modern. | Pilih bcrypt, argon2id, atau scrypt |
| "Saya butuh sidik jari dari string konfigurasi atau payload pendek" | MD5 dapat diterima untuk sidik jari non-lawan: kunci cache, ID dedup, ETag, pemeriksaan integritas pendek. | https://freetoolonline.com/developer-tools/md5-converter.html (tombol To MD5) |
| "Mengapa situs tidak bisa mengembalikan aslinya kepada saya?" | MD5 adalah fungsi trapdoor satu arah. Penjelasan matematika menjelaskan mengapa tidak ada invers. | Mengapa MD5 tidak bisa didekripsi |
Cara hash string password dengan MD5
Buka konverter MD5, tempel string password Anda ke area teks atas, dan klik tombol To MD5. Digest 32-hex muncul segera - input yang sama selalu menghasilkan output yang sama, itulah mengapa MD5 berfungsi sebagai sidik jari. Area teks menerima hingga 990 karakter, yang mencakup panjang password realistis apa pun ditambah awalan salt opsional yang Anda gabungkan secara manual sebelum hashing. Hasilnya cocok untuk penggunaan non-lawan seperti kunci dedup, identifier cache, dan pemeriksaan integritas pendek di mana Anda hanya butuh identifier pendek yang stabil untuk string yang lebih panjang. Teks password asli tidak pernah muncul di digest - output 128-bit adalah sidik jari satu arah, bukan bentuk terenkripsi dari input.
Mengapa MD5 adalah alat yang salah untuk menyimpan password pengguna
Penyimpanan password adalah konteks lawan: penyerang yang mencuri database password mencoba memulihkan password plaintext untuk hash yang dicuri. MD5 gagal buruk di pekerjaan ini karena dua alasan. Pertama, MD5 cepat - satu GPU modern menghitung miliaran digest MD5 per detik, yang berarti database password ter-hash MD5 yang dicuri dapat di-brute-force terhadap kamus password umum dalam hitungan jam, bukan abad. Kedua, MD5 tidak memiliki salt bawaan: password identik antar pengguna menghasilkan digest identik, sehingga satu pencarian kamus menyerang setiap pengguna dengan password yang sama sekaligus. Perbaikannya bukan "MD5 yang lebih kuat" - perbaikannya adalah beralih ke primitif yang dibangun untuk penyimpanan password. Bcrypt, argon2id, dan scrypt sengaja lambat (faktor kerja yang dapat dikonfigurasi yang berskala dengan hardware) dan memerlukan salt per-pengguna berdasarkan konstruksi. Panduan alternatif khusus menjelaskan mana yang cocok untuk alur login web, kunci API, atau token yang spesifik.
Apa yang sebenarnya dilakukan situs "pencarian password MD5"
Situs yang mengklaim "mendekripsi password MD5" atau "membalikkan MD5" tidak menjalankan MD5 mundur - operasi semacam itu tidak ada. Yang sebenarnya mereka lakukan adalah mencari hash 32-hex dalam kamus yang dihitung sebelumnya dari string yang telah di-hash sebelumnya. Pencarian berhasil ketika password cukup umum untuk muncul dalam kamus (sebagian besar daftar top-10000 password telah di-hash secara menyeluruh) dan gagal untuk password apa pun yang cukup unik sehingga tidak ada yang pernah meng-hash-nya. Konverter MD5 di situs ini mengekspos pencarian yang sama sebagai tombol To Text - tempel hash 32-hex, klik tombol, dan kamus mengembalikan plaintext yang cocok jika pasangan ada. Pencarian adalah pencocokan sidik jari terhadap data historis, bukan komputasi balik kriptografis. Untuk password unik atau acak kamus mengembalikan tidak ada - itu perilaku yang diharapkan, bukan bug.
Kapan MD5 dari password dapat diterima
Di luar autentikasi, MD5 dari string yang berbentuk password dapat menjadi pilihan yang masuk akal. Jika Anda butuh identifier pendek yang stabil untuk string panjang - kunci cache untuk endpoint API ber-scope tenant, ID dedup untuk job yang diantrekan oleh submisi pengguna, ETag untuk payload teks kecil - MD5 cocok karena cepat dan menghasilkan string 32-hex dengan lebar tetap. Properti yang membuat MD5 tidak aman untuk autentikasi (kecepatan, tanpa salt) tepat properti yang membuatnya berguna untuk fingerprinting. Aturan praktis: jika penyerang yang menebak input akan mendapat sesuatu dari tebakan yang berhasil, jangan gunakan MD5. Jika input secara operasional tidak rahasia dan Anda hanya butuh identifier pendek yang stabil, MD5 baik-baik saja.
Pertanyaan yang sering diajukan
Bisakah saya MD5 password dan menggunakan hasilnya sebagai password tersimpan?
Anda secara teknis bisa, tetapi sebaiknya tidak. Database password MD5 yang dicuri secara fungsional setara dengan database password plaintext untuk password umum mana pun, karena brute-force GPU terhadap kamus memulihkan sebagian besar dalam hitungan jam. Gunakan bcrypt, argon2id, atau scrypt - keduanya dirancang untuk pekerjaan ini.
Apakah MD5 dari "password" sama di setiap situs?
Ya. MD5 adalah fungsi deterministik: input yang sama selalu menghasilkan digest 32-hex yang sama. MD5 dari "password" adalah 5f4dcc3b5aa765d61d8327deb882cf99 di setiap situs, di setiap alat, di setiap bahasa - tepat properti yang membuat MD5 tanpa salt tidak aman untuk penyimpanan password dan berguna untuk fingerprinting.
Bagaimana saya menambahkan salt sebelum meng-hash password dengan MD5?
Gabungkan string salt dengan string password sebelum menempel ke konverter: salt + password atau password + salt, pilihan Anda. Hash yang dihasilkan ter-salt dalam arti password yang sama dengan salt berbeda menghasilkan digest yang berbeda. Tapi ini masih MD5 - salt hanya memblokir serangan kamus, bukan serangan brute-force pada pasangan ter-salt itu sendiri. Gunakan bcrypt atau argon2id, yang menggabungkan salt dan faktor kerja lambat dalam satu primitif.
Tombol "decrypt" di konverter MD5 mengembalikan password saya - apakah MD5 rusak?
Tidak. Pencarian To Text mengembalikan kecocokan karena password Anda sebelumnya dipasangkan dengan hash itu di kamus. Jika Anda menempel password yang tidak ada orang lain yang pernah hash - string acak 12 karakter, misalnya - pencarian mengembalikan tidak ada. Kata "decrypt" adalah singkatan praktis untuk operasi pencarian; kriptografinya sendiri masih satu arah.
Panjang password apa yang membuat pencarian MD5 gagal?
Password apa pun yang cukup panjang dan acak sehingga tidak ada kamus yang memilikinya. Dalam praktiknya, password sepenuhnya acak 12 karakter dari alfabet 70 karakter memiliki sekitar 2^74 nilai yang mungkin - jauh melampaui kamus praktis apa pun. Password 6 karakter dari alfabet huruf kecil memiliki 26^6 sekitar 309 juta nilai, yang muat nyaman dalam kamus yang dihitung sebelumnya. Panjang dan keacakan, bukan pilihan MD5 vs SHA-256, menentukan apakah pencarian berhasil.