A jelszó hash-elés a kriptográfiának az a területe, amivel az átleg programozó a legtöbbször találkozik munkája során. Sajnos azonban a kriptográfia nem egyszerű tudomány, elég csak végignéznünk az elmúlt évek adatszivárgási botrányait, hogy lássuk: még mindig a sótlan MD5 esetleg a SHA1 a legkedveltebb fegyver a jelszótörőkkel szemben. A PHP csapata ezt felismerve létrehozott egy új API-t, amivel a jelszókezelés problémája 1-1 paranccsal nagyjából hülyebiztosan megoldható. 

Az interpreter 5.5-ös verziójában megjelenő password_hash() illetve password_verify() függvények mindig az aktuálisan legjobbnak tartott algoritmussal hozzák létre illetve ellenőrzik a jelszóhash-eket. Amennyiben új támadások vagy jobb tulajdonságokkal rendelkező algoritmusok jelennek meg, a következő PHP kiadásban frissítik az alapértelmezett viselkedést, a régi jelszavak újrakódolásának szükségessége a password_hash_needs_rehash() függvénnyel lesz lekérdezhető. Az alapértelmezett algoritmus a salt-tal ellátott bcrypt() lesz, ami a tudomány mai állása szerint az egyik legjobb megoldás az elosztott, illetve előreszámítást (time-memory trade-off) alkalmazó, nyers erőn alapuló módszerekkel szemben.

Az új technológia adaptációjára persze várhatunk még majd egy darabig :/