그누보드는 mysql의 sql password를 사용합니다. http://lampload.com/static/create-password-password.php

사이트가 해킹당하면, 패스워드를 맞을때까지 대입해 보는 방법으로(brute force) 찾아 낼수가 있네요..

http://stackoverflow.com/questions/4795385/how-do-you-use-bcrypt-for-hashing-passwords-in-php

PHP5.5버전이상을 쓰시는 분은 password_hash()를 사용하면 되겠네요.

http://php.net/manual/en/function.password-hash.php

에서
[code]
<?php
/**
* Note that the salt here is randomly generated.
* Never use a static salt or one that is not randomly generated.
*
* For the VAST majority of use-cases, let password_hash generate the salt randomly for you
*/
$options = [
'cost' => 11,
'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM),
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options)."\n";
?>
[/code]

와 같은 방식을 사용하면 되겠네요..

PHP5.5 이전 버전이라고 하면.. 여기 참조하세요..

http://stackoverflow.com/questions/19103340/what-is-an-alternative-to-password-hash-for-php-5-5-5-0

5.5 이전 버전의 사이트에서 사용할때는 PBKDF2 를 이용합니다.
현재도 그렇게 구성한 사이트가 여럿 있구요.
아무래도 brute forcing 에는 key 스트레칭이 들어가는게 여러모로 마음이 편하겠죠.

https://defuse.ca/php-pbkdf2.htm

소스코드는 그렇게 길지 않으니 적용하기는 쉽겠네요.. PHP버전업을 하는 것이 제일 좋을 것 같은데.. 국내 호스팅 업체 사정이...