【PHP8.x】PASSWORD_ARGON2I定数の使い方

PASSWORD_ARGON2I定数の使い方について、初心者にもわかりやすく解説します。

作成日: 2025年09月11日更新日: 2026年03月16日

基本的な使い方

PASSWORD_ARGON2I定数は、PHPのパスワードハッシュ関連関数において、Argon2iアルゴリズムを指定するために使用される整数値を表す定数です。この定数は主にpassword_hash()関数に第一引数として渡すことで、ユーザーが入力したパスワードをArgon2iアルゴリズムを用いて安全にハッシュ化する際に利用されます。

Argon2iは、ブルートフォース攻撃やレインボーテーブル攻撃といったパスワード解読攻撃に対する高い耐性を持つように設計された、現代的で強力なパスワードハッシュアルゴリズムの一つです。特に、CPUやメモリの消費を意図的に大きくすることで、攻撃者が膨大な数のパスワードを試行するコストを著しく増加させ、解読に要する時間を大幅に引き延ばす効果があります。

PHP 7.2以降でArgon2iが導入され、PHP 8でも引き続きサポートされています。PHP 8では、より総合的なセキュリティを提供するArgon2idアルゴリズムがデフォルトとして推奨されていますが、特定のシステム要件や既存のシステムとの互換性などの理由から、Argon2iを選択して利用することも可能です。システム開発においてユーザーのパスワードを安全に管理することは非常に重要であり、この定数を適切に利用することで、セキュアなパスワードストレージを実装できます。

構文(syntax)


1<?php
2$password = 'secret_password';
3$hash = password_hash($password, PASSWORD_ARGON2I);
4echo $hash;
5?>

引数(parameters)

引数なし

引数はありません

戻り値(return)

int

PASSWORD_ARGON2I は、パスワードハッシュ化アルゴリズムとして Argon2i を指定するための整数定数です。

サンプルコード

PHP Argon2i/Argon2id パスワードハッシュ化と検証


1<?php
2
3/**
4 * PHPのPASSWORD_ARGON2IおよびPASSWORD_ARGON2ID定数を使用して、
5 * パスワードのハッシュ化と検証のプロセスを実演します。
6 *
7 * システムエンジニアを目指す初心者向けに、セキュアなパスワード管理の基本を示します。
8 *
9 * @param string $plainPassword ハッシュ化および検証するプレーンテキストのパスワード。
10 * @return void
11 */
12function demonstrateArgon2PasswordHashing(string $plainPassword): void
13{
14    echo "--- Argon2i ハッシュ化 (PASSWORD_ARGON2I) ---\n";
15
16    // PASSWORD_ARGON2I は、PHPのpassword_hash関数でArgon2iアルゴリズムを指定するための定数です。
17    // その値は整数型です。
18    // オプションはアルゴリズムの強度を制御します。
19    // memory_cost, time_cost, threads の値を適切に設定することで、
20    // セキュリティとパフォーマンスのバランスを取ります。
21    $optionsArgon2i = [
22        'memory_cost' => 1 << 17, // 128 MB (デフォルトは65536、約64MB)
23        'time_cost'   => 4,       // デフォルトは4
24        'threads'     => 3,       // デフォルトは1
25    ];
26
27    // password_hash() を使用してパスワードをArgon2iでハッシュ化します。
28    // PASSWORD_ARGON2I定数は、どのハッシュアルゴリズムを使用するかを指定します。
29    $hashedPasswordArgon2i = password_hash($plainPassword, PASSWORD_ARGON2I, $optionsArgon2i);
30
31    if ($hashedPasswordArgon2i === false) {
32        echo "Argon2i ハッシュ化に失敗しました。\n";
33        return;
34    }
35
36    echo "プレーンパスワード: " . $plainPassword . "\n";
37    echo "Argon2i ハッシュ化されたパスワード: " . $hashedPasswordArgon2i . "\n";
38
39    // password_verify() を使用して、ハッシュ化されたパスワードが元のパスワードと一致するか検証します。
40    if (password_verify($plainPassword, $hashedPasswordArgon2i)) {
41        echo "Argon2i 検証に成功しました！\n";
42    } else {
43        echo "Argon2i 検証に失敗しました。\n";
44    }
45
46    echo "\n--- Argon2id ハッシュ化 (PASSWORD_ARGON2ID) ---\n";
47
48    // PASSWORD_ARGON2ID は、Argon2idアルゴリズムを指定するための定数です。
49    // Argon2idはArgon2iよりもサイドチャネル攻撃に対する耐性が高く、
50    // ほとんどのシナリオで推奨されるアルゴリズムです。(PHP 7.3以降で利用可能)
51    $optionsArgon2id = [
52        'memory_cost' => 1 << 18, // 256 MB
53        'time_cost'   => 5,
54        'threads'     => 4,
55    ];
56
57    // password_hash() を使用してパスワードをArgon2idでハッシュ化します。
58    $hashedPasswordArgon2id = password_hash($plainPassword, PASSWORD_ARGON2ID, $optionsArgon2id);
59
60    if ($hashedPasswordArgon2id === false) {
61        echo "Argon2id ハッシュ化に失敗しました。\n";
62        return;
63    }
64
65    echo "Argon2id ハッシュ化されたパスワード: " . $hashedPasswordArgon2id . "\n";
66
67    // パスワードの検証
68    if (password_verify($plainPassword, $hashedPasswordArgon2id)) {
69        echo "Argon2id 検証に成功しました！\n";
70    } else {
71        echo "Argon2id 検証に失敗しました。\n";
72    }
73}
74
75// サンプル使用例
76$userProvidedPassword = 'MySecretPassword123!';
77demonstrateArgon2PasswordHashing($userProvidedPassword);
78

このサンプルコードは、PHPのPASSWORD_ARGON2IおよびPASSWORD_ARGON2ID定数を使用し、パスワードのセキュアなハッシュ化と検証のプロセスをシステムエンジニアを目指す初心者向けに示しています。PASSWORD_ARGON2Iは、password_hash関数でパスワードをArgon2iアルゴリズムによりハッシュ化する際に指定する整数型の定数です。

コードでは、demonstrateArgon2PasswordHashing関数がパスワードの処理を行います。この関数は、ハッシュ化および検証したい元のパスワードを文字列型（string $plainPassword）として引数に受け取ります。戻り値はvoidであり、関数は直接値を返さず、処理の進行や結果を画面に直接出力します。

関数内では、まずPASSWORD_ARGON2I定数を用いて、元のパスワードをArgon2iアルゴリズムでハッシュ化します。この際、memory_costやtime_costなどのオプションを配列で指定することで、ハッシュ化の強度を調整し、セキュリティとパフォーマンスのバランスを取ることができます。ハッシュ化されたパスワードは、password_verify関数を使って元のパスワードと一致するかどうか検証されます。

さらに、PASSWORD_ARGON2ID定数を用いたArgon2idアルゴリズムでのハッシュ化と検証も実演しています。PASSWORD_ARGON2IDはArgon2idアルゴリズムを指定する定数で、Argon2iよりもサイドチャネル攻撃への耐性が高く、現在ではほとんどのシナリオで推奨される強力なアルゴリズムです。この一連の処理を通じて、安全なパスワード管理の基本的な考え方を学ぶことができます。

このサンプルコードでは、パスワードのハッシュ化にPASSWORD_ARGON2IとPASSWORD_ARGON2ID定数を使用していますが、現在のセキュリティ推奨としてはPASSWORD_ARGON2IDの利用が望ましいです。password_hash関数で設定するmemory_costやtime_costなどのオプションは、パスワードハッシュのセキュリティ強度とサーバーリソースの使用量に直接影響します。本番環境では、システムのセキュリティ要件とサーバーの性能を考慮し、適切な値を慎重に設定することが非常に重要です。また、password_hash関数は処理に失敗した場合にfalseを返すため、必ず戻り値をチェックし、適切なエラー処理を実装してください。ハッシュ化されたパスワードは不可逆であり、安全にデータベースなどに保存し、元のパスワードは決して保存しないでください。

PHP 8 Argon2i パスワードハッシュ化する


1<?php
2
3/**
4 * ユーザーパスワードのハッシュ化と検証を行う関数。
5 *
6 * PHP 8 で推奨される Argon2i アルゴリズムを使用し、
7 * 安全なパスワード管理の基本を示します。
8 *
9 * @param string $passwordToHash ハッシュ化する元のパスワード。
10 * @return void
11 */
12function demonstratePasswordHashing(string $passwordToHash): void
13{
14    echo "--- パスワードハッシュの生成と検証（Argon2i）---\n";
15    echo "元のパスワード: " . $passwordToHash . "\n";
16
17    // Argon2i アルゴリズムのオプションを設定します。
18    // これらの値はセキュリティとパフォーマンスのバランスを考慮して調整することが推奨されます。
19    // memory_cost: 割り当てるメモリ量（キロバイト）
20    // time_cost: 実行する反復回数
21    // threads: 使用するスレッド数
22    $options = [
23        'memory_cost' => PASSWORD_ARGON2_DEFAULT_MEMORY_COST, // PHPの推奨デフォルト値
24        'time_cost'   => PASSWORD_ARGON2_DEFAULT_TIME_COST,   // PHPの推奨デフォルト値
25        'threads'     => PASSWORD_ARGON2_DEFAULT_THREADS,     // PHPの推奨デフォルト値
26    ];
27
28    // password_hash() 関数を使ってパスワードをハッシュ化します。
29    // PASSWORD_ARGON2I は Argon2i アルゴリズムを使用することを示す定数です。
30    // PHP 8以降では、より新しい Argon2id アルゴリズムを示す PASSWORD_ARGON2ID 定数も利用可能です。
31    // 利用方法も同様ですが、本サンプルでは PASSWORD_ARGON2I を使用します。
32    $hashedPassword = password_hash($passwordToHash, PASSWORD_ARGON2I, $options);
33
34    if ($hashedPassword === false) {
35        echo "エラー: パスワードのハッシュ化に失敗しました。\n";
36        return;
37    }
38
39    echo "ハッシュ化されたパスワード: " . $hashedPassword . "\n\n";
40
41    // password_verify() 関数を使って、ハッシュ化されたパスワードと
42    // 提供されたパスワードが一致するかどうかを検証します。
43    // これは、ユーザーがログイン時に提供したパスワードが、
44    // データベースに保存されたハッシュと一致するかを確認する際に使われます。
45    $isVerified = password_verify($passwordToHash, $hashedPassword);
46
47    if ($isVerified) {
48        echo "検証結果: 元のパスワードとハッシュが一致しました。\n";
49    } else {
50        echo "検証結果: 元のパスワードとハッシュが一致しませんでした。\n";
51    }
52
53    // 誤ったパスワードで検証を試みる例
54    $wrongPassword = "wrong_password";
55    echo "\n誤ったパスワード ('" . $wrongPassword . "') で検証します...\n";
56    $isVerifiedWrong = password_verify($wrongPassword, $hashedPassword);
57
58    if ($isVerifiedWrong) {
59        echo "検証結果: 誤ったパスワードでも一致しました。（これは想定外です！）\n";
60    } else {
61        echo "検証結果: 誤ったパスワードとは一致しませんでした。（期待通りの動作です）\n";
62    }
63}
64
65// サンプル関数を実行します。
66$userProvidedPassword = "MyStrongPassword123!";
67demonstratePasswordHashing($userProvidedPassword);
68
69?>

このPHPコードは、ユーザーのパスワードを安全にハッシュ化し、その後に検証する基本的なプロセスをシステムエンジニアの初心者の方にも分かりやすく説明しています。PASSWORD_ARGON2IはPHPの組み込み定数であり、password_hash()関数でパスワードをハッシュ化する際に、強力な暗号化アルゴリズムであるArgon2iを使用することを指定する整数値です。この定数を指定することで、元のパスワードをデータベースに直接保存せず、セキュリティを向上させることができます。

サンプルコードでは、まずpassword_hash()関数を用いて、指定されたパスワード（$passwordToHash）をArgon2iアルゴリズムでハッシュ化します。この際、memory_costやtime_costといったオプションを設定することで、セキュリティ強度と処理性能のバランスを調整することが可能です。password_hash()関数は、ハッシュ化に成功すると文字列を、失敗するとfalseを返します。

次に、password_verify()関数を使って、元のパスワードが生成されたハッシュと一致するかを検証します。これは、ユーザーがログイン時に入力したパスワードと、データベースに保存されたハッシュ値を比較する場面で利用されます。password_verify()は一致すればtrueを、一致しなければfalseを返します。これにより、パスワードが正しく認証されたかを確認します。PHP 8以降では、より堅牢なArgon2idアルゴリズムを指定するPASSWORD_ARGON2ID定数も利用可能です。この一連の処理は、Webアプリケーションにおける安全なパスワード管理の基盤となります。

このコードは、パスワードを直接保存せず、安全なArgon2iアルゴリズムでハッシュ化し検証する基本的な手順を示しています。本番環境では、memory_cost、time_cost、threadsなどのオプション値を、サーバーリソースとセキュリティ要件に合わせて慎重に調整してください。これらの値はパフォーマンスと攻撃耐性のバランスに直結します。PHP 8以降では、さらに堅牢なArgon2idアルゴリズムを示すPASSWORD_ARGON2ID定数も利用可能で、セキュリティの観点から推奨されます。password_hash関数が失敗した際にfalseを返すため、必ず戻り値を確認しエラー処理を実装してください。パスワードの検証には、必ずpassword_verify関数を使用することが重要です。ハッシュ化されたパスワードはデータベースに安全に保存し、将来的なアルゴリズム変更やパラメータ更新に備え、定期的な再ハッシュ化（ストレッチング）も検討してください。