MD5 e SHA-256 são funções de hash que resumem dados em uma impressão digital de tamanho fixo, mas têm finalidades diferentes. O MD5 tem 128 bits e é rápido, mas, como é possível criar colisões artificialmente, foi descontinuado para fins de segurança. O SHA-256 tem 256 bits e é um padrão seguro para o qual, até hoje, não se conhece nenhum ataque prático.
Se o objetivo for apenas verificar se um arquivo foi corrompido acidentalmente ou usá-lo como chave de cache para identificar rapidamente dados duplicados, MD5 e CRC32 são suficientes. Afinal, o cálculo é rápido e o resultado é curto e fácil de manipular.
Por outro lado, no momento em que a segurança entra em jogo — assinaturas digitais, certificados, armazenamento de senhas, integridade de tokens — é obrigatório usar SHA-256 ou superior. Isso porque, se um invasor consegue criar dados falsos com o mesmo hash, a própria verificação perde o sentido.
Em resumo, a regra básica é MD5 para verificação rápida de integridade e SHA-256 quando a segurança é necessária. Na dúvida, escolher SHA-256 é o caminho mais seguro. O AG HASH mostra os dois valores ao mesmo tempo, então basta escolher o adequado para cada situação.