パスワードをハッシュする最善の方法は何ですか？ password_hashは安全か、PHP 7では安全な方法がありますか？

Question

パスワードをハッシュする最善の方法は何ですか？私は良い仕事をする方法を知っていますが、PHP 7+でパスワードをハッシュするより良い方法があるかどうか疑問に思っていましたpassword_hash()。 password_hashは十分ですか？

<?php 
password_hash('PASSWORD HERE', PASSWORD_DEFAULT); 
?> 

Answer 1

「私はPHP 7+でパスワードをハッシュするより良い方法があるならば、password_hash思っていました。十分password_hashますか？」

はい、安全で十分ですが、より良い/より安全な方法があります。 PHP 7.2より、Argon2は、PHPのバージョンを7.2にアップグレードしたい場合は、より堅牢なメソッドを提供するPassword Hashing Competitionを獲得した新しく実装された（ハッシング）メソッドの一部です。

この上wikiは述べている：

Argon2、パスワードハッシュ競争によって推奨されるパスワードハッシュアルゴリズムは、安全にパスワードをハッシュのための現代的なアルゴリズムです。アルゴン2は、最高のメモリ充填率のために設計され、トレードオフ攻撃に対する防御を提供しながら複数のコンピューティングユニットを効果的に使用する点で、既存のアルゴリズムのいくつかの重要な欠点を解決します。ただ1つのコスト要因を取るbcryptのとは異なり、Argon2は、三つの異なる要因によってパラメータ化される：

1. アルゴリズム
2. アルゴリズムの実行時間を定義する時間コストのメモリ使用量を定義するメモリコストとイテレーション
3. の数と、あなたはまた、Libsodium 01の詳細情報が含まれて次のリンクに見ることができる並列スレッドの数

を定義する並列度、

http://php.net/manual/en/function.password-hash.phpのマニュアルには、PASSWORD_ARGON2Iの情報も含まれています。

チェンジ状態：

7.2.0 PASSWORD_ARGON2Iを使用してArgon2パスワードのサポートが追加されました。

---

PHP 7.2にアップグレードするオプションがない場合、あなたは「コスト」を高めることができます。

はthis answerからと関連のポストGenerating Password Hash In PHP 5.5 And Setting Cost Optionから引き出され、私は引用：

1によるコストパラメータの値を増やす、ハッシュ値を計算するために必要な時間を倍になります。コストパラメータは反復回数の対数（底2）です。つまり、次のことを意味します。

$ iterations = 2^$ cost;

また、スタックオーバーフローの上に、ここで、この他のQ & Aに相談することができます

• How does password_hash really work?

が

Answer 2

はい、これはPHPで最高のパスワードハッシュの一つであり、あなたがしたい場合はセキュリティを向上させ、DEFAULT_PASSWORDよりも他のパスワードハッシュエンコーディングを選択します。