こないだ書いた下記のエントリでいろいろなコメントを頂いた。 ■パスワードを平文で管理するのはダメだ ■MD5は復号できる!? で、結局どんな風にハッシュ化すれば安全なのか僕なりに理解した。 まず、平文は問題外。 次にハッシュ化の方法だけどMD5やSHA1の場合、総当りチェックに弱いというのは割と有名な話とのこと。かといって、MD5やSHA1のハッシュ化そのものが悪いからMD5を使うなということではなく、適切なsaltをくっつけてハッシュ化すれば良いらしい。 さらに、できればそのsaltも固定値ではなくランダムな方がよい。 そういう観点から、メジャーなPHPのオープンソースのパスワードハッシュ化の状況を調査してまとめてみた。 調査結果 [フォーマット] ■オープンソース名 バージョン ハッシュ方式 saltについて パッケージ内の確認ソース [調査結果] 2007/11/06 ■osComm