password_hash() / Node.js の bcrypt 等で生成されるbcryptハッシュの動作確認・テストにご利用ください。| 値 | 処理時間の目安 | 用途 |
|---|---|---|
| 10 | 約 100ms | 開発・テスト用途 |
| 12 | 約 400ms | 本番推奨(PHPのデフォルト) |
| 14 | 約 1.5秒 | 高セキュリティが求められる場合 |
コストファクターを1増やすと処理時間は約2倍になります。攻撃者の総当たり試行も同じ比率で困難になります。
| アルゴリズム | GPU 1秒あたりの試行回数 | パスワード保存への適性 |
|---|---|---|
| MD5 | 約 1,000億回 | cancel 不適(高速すぎる) |
| SHA-256 | 約 200億回 | cancel 不適(高速すぎる) |
| bcrypt | 約 1万回 | check_circle 適切(意図的に低速) |
MD5・SHA系は「データの同一性確認」のために高速に動作するよう設計されており、パスワード保存には不向きです。bcrypt はコストファクターによって計算量を調整でき、ハードウェアが進化しても値を上げることで対応できます。