Ein in der kommenden PHP-Version 5.5 enthaltenes neues API soll Entwickler veranlassen, Passwörter mit Bcrypt zu hashen und nicht wie bisher mit MD5 oder SHA1.
weist das PHP-Team auf das neue Crypt-API in PHP 5.5 hin, das Entwickler für ein sicheres Passwort-Hashing verwenden können. Dass das neue Secure Password Hashing API das bislang verwendete API ersetzen wird, ist bereits beschlossen, denn mit dem alten Verfahren sei es zu kompliziert gewesen, ein sicheres Passwort-Hashing mit Bcrypt zu realisieren. Das neue API lässt sich auch mit aktuellen PHP-Versionen nutzen; der Code steht bereits auf
zum Herunterladen zur Verfügung.
Im neuen API ist Bcrypt Standard für das Passwort-Hashing. Zwar lässt sich auch mit dem alten API ein auf Bcrpyt basierendes Passwort-Hashing realisieren, dies ist aber aufwendig, sodass viele Entwickler in der Vergangenheit vorrangig aus Bequemlichkeit auf die unsicheren Hashing-Verfahren SHA1 und MD5 zurückgriffen. Das lässt sich an der sich in letzter Zeit häufenden Anzahl erfolgreich verlaufener Angriffe auf PHP-Anwendungen ablesen.