私はユーザーのサーバーにデプロイすることを目的としたいくつかのPHPに取り組んでいます-おそらく安価な/共有ホスティング(最小公分母のPHP 5.2、PHPインストールの変更なしを意味します)。パスワードハッシュに関する一般的なアドバイスは、PHP 5.2のインストール可能な拡張機能を介した、bcryptまたはscryptのようです。
強力なユーザーごとのソルトを使用してSHA-512を繰り返し使用することを考えていましたが、bcrypt/scryptと実際に比較できるようには思えません。
基本のPHPインストールを変更する機能がない場合、強力なパスワードセキュリティのためにどのようなオプションがありますか?
元の質問へのコメントで述べたように、PBKDF2 の PHP < 5.2 実装はhttp://crackstation.net/hashing-security.htmで入手できます。
PBKDF2 は間違いなく bcrypt/scrypt よりも優れたオプションであり、より徹底的に調査およびテストされています。
私が最初に言うことは、PHP 5.2 を考慮すべきではないということです。ほぼ 2 年前にサポート終了が宣言されましたが、その間セキュリティ パッチは適用されていませんでした。最近では、5.3 を最小バージョンと見なす必要があります。
パスワードにノー...
PHP の次のバージョン (v5.5) には、標準化されたパスワード ハッシュを提供する一連の関数が組み込まれています。これは、PHP でパスワードを悪用する慣行の言い訳をきっぱりとなくすことを目的としています。このバージョンがリリースされると、それがパスワードを処理する唯一の推奨される方法になります。
それまでの間、現在の PHP バージョンに同じ機能を実装する互換ライブラリをダウンロードできます。ここからダウンロードしてください: https://github.com/ircmaxell/password_compat
私の推奨は、if(function_exists())ラッパーに含まれるこのライブラリを使用することです。そうすれば、ベスト プラクティスを使用することができ、5.5 がリリースされたときに組み込み関数を使用する準備も整います。
http://www.h-online.com/open/news/item/PHP-5-5-should-reduce-password-sloppiness-1707835.htmlも参照してください。
それが役立つことを願っています。