Blowfish ハッシュの salt prefix を$2y$にし、work factor を 08 から 13 に増やします。
$di->set('security', function() {
$security = new Phalcon\Security();
$security->setWorkFactor(13);
$security->setDefaultHash(Phalcon\Security::CRYPT_BLOWFISH_Y);
return $security;
});
Harden the password hashing - Tip - Phalcon Tips http://phalcontip.com/discussion/24/harden-the-password-hashing より。
以下の PHP マニュアルの記述も参照。
5.3.7 までのバージョンの PHP では、salt のプレフィックスとして "$2a$" だけしか使えませんでした。PHP 5.3.7 で新たなプレフィックスが導入され、 Blowfish の実装にあったセキュリティ上の弱点に対応しました。 セキュリティ修正の対応の詳細については » この文書 を参照ください。 簡単にまとめると、PHP 5.3.7 以降しか使わないのなら "$2a$" ではなく "$2y$" を使うべきだということです。 http://php.net/manual/ja/function.crypt.php