Security 2026-04-28
bcrypt vs Argon2: 2026年のパスワードハッシュ
正しいパスワードハッシュアルゴリズムを選び、プロダクションパラメータを調整。
平文パスワード保存は論外です。MD5/SHA-256でもほぼ同じです。
意図的に遅い理由
GPU農場は毎秒数十億のSHA-256候補をハッシュ。bcrypt/Argon2は1ドルあたり毎秒数千に制限。
bcrypt
const hash = await bcrypt.hash(password, 12);
72バイト入力キャップ。
Argon2id
const hash = await argon2.hash(password, {
type: argon2.argon2id,
memoryCost: 2 16,
timeCost: 3
});
メモリハードでGPU攻撃を困難に。
OWASP 2026パラメータ
- Argon2id: m=64MB, t=3
- bcrypt: cost 12
選択
新規プロジェクト → Argon2id。