Un'impronta delle dimensioni di SHA-256 è una stringa esadecimale di 64 caratteri che spesso rappresenta la forma visibile di un hash SHA-256. Nel lavoro di sicurezza, può identificare un file, un messaggio o un altro artefatto in base al suo contenuto esatto. Poiché lo stesso input produce sempre lo stesso hash, gli addetti alla difesa usano questi valori per verificare l'integrità, confrontare campioni e associare malware tra sistemi.
Il problema è il contesto. Una stringa di 64 caratteri su un sito di leak o in un post di incidente può essere un hash di file, un identificatore di record o qualcos'altro del tutto. Da sola, non prova una compromissione né descrive che cosa sia l'elemento. Negli attacchi, gli attori delle minacce possono pubblicare hash per dare credibilità o aiutare le vittime a trovare dati sottratti. Nella difesa, gli analisti confrontano l'impronta con database noti come affidabili e noti come malevoli, quindi la correlano con log, metadati dei file e telemetria prima di trarre conclusioni.