宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用できるpassword_hash関数が非常に便利ですし、他の言語やアプリケーションフレームワークでも、それぞれ用意されているパスワード保護の機能を使うことはパスワード保護の第一選択肢となります。 なかでもbcryptは、PHPのpassword_hash関数のデフォルトアルゴリズムである他、他の言語でも安全なハッシュ保存機能として広く利用されていますが、パスワードが最大72文字で切り詰められるという実装上の特性があり、その点が気になる人もいるようです(この制限はDoS脆弱性回避が
![bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点](https://cdn-ak-scissors.b.st-hatena.com/image/square/603ab6fab65202b04e457bd39e6aa245a9dc22d4/height=288;version=1;width=512/https%3A%2F%2F4.bp.blogspot.com%2F-Q9pcAjA3FUU%2FXHJND7cxC7I%2FAAAAAAAARbA%2Fr24hxMJoULI-4BElsEFSD214Fn-v6snXgCLcBGAs%2Fw1200-h630-p-k-no-nu%2Fdropbox-password-hash.png)