MD5が脆弱なアルゴリズムと見なされるのはなぜですか？

MD5が最も脆弱なハッシュアルゴリズムであることを知っています

技術的には（ここでは技術的です）、MD5よりも悪いアルゴリズムがあります。

特に衝突に対して脆弱

はい、人々は異なる平文で希望のハッシュを作成できます。これはランダムに発生する可能性は低いですが、悪意で発生する可能性があります。

しかし、衝突の脆弱性はそれほど危険ではなく、誰かがそれを利点として使用するかもしれませんが、それは全くの運があります。

全く運ではありません。目的のMD5を生成するプレーンテキストを見つける手法があります。これは別の質問に適したテーマです。

OK、MD5を使用してパスワードを保存するとします。

痛い。 MD5を使用すべきでない主な理由は、MD5が汎用（高速）ハッシュであるためです。

次のような（遅い）パスワードハッシュを使用する必要があります

• BCryptが一般的に推奨されますが、入力データに対してSHA-2ハッシュをすばやく実行するようにしてください。これにより、超長いパスワードがBCryptによって切り捨てられなくなります
• PBKDF2はメモリ要件が低いため、GPU耐性は低くなります。
• SCryptはBCryptよりも優れていますif十分に高い作業係数がある場合。そうでなければ、それはGPUに対してより悪いです。 （ここでも、メモリ要件が高いまたは低いため）
• Password Hashing Competition の勝者は、前述のものよりも優れているかもしれませんが、まだ時間の試練に耐えていないので、まだ使用しないでください。これはArgon2と呼ばれ、CPU時間とメモリ負荷に対して個別の作業係数設定があります。 （いいね！）
• PBKDF2（まだGPU耐性ではない）の代わりに反復SHA-2を使用できますが、SHA-2は実際には汎用（高速）ハッシュであるため、反復を効率的に実装する（つまり、ブルートフォース耐性を実現する）には、よりトリッキーです。

これらのオプションのほとんどは、デフォルトでランダムなソルトを生成しますが、これが当てはまるかどうかを確認する必要があります！

ハッシュする前に、パスワードの前にPepper（約72ビットのエントロピー）を含めることをお勧めします。 Pepperはすべてのユーザーで同じにすることができますが、SQLインジェクションを介してコンポーネントが見つからないように、データベース外のファイルに保存する必要があります。

ターゲットハードウェアで、適切なDoS保護を備えた作業係数が約100ミリ秒を必要とすることを確認します（攻撃者がブルートフォースに高速ハードウェアを使用することを知っている）

もちろんハッシュの量は弱いpasswordsを保護しませんので、パスワード強度の要件を含めてください。

衝突の脆弱性...攻撃者がこれを利点として使用する方法はありますか？

パスワードハッシュストレージのコンテキストでは、これはおそらく攻撃者を助けません。