Do zakodowania hasła administrator nie potrzebuje soli, ponieważ jest ona generowana automatycznie przez API i dodana jako losowy składnik tworzonego hasła. Weryfikacja hasła jest równie prosta:
password_verify($password, $hash);
Jeśli chodzi o zabezpieczenie przed złamaniem hasła, metoda bcrypt jest trudna obliczeniowo i wymaga intensywnego wykorzystania pamięci. Co więcej, dzięki automatycznym zastosowaniu soli, ograniczone jest wykorzystanie do złamania hasła tzw. tęczowych tablic. Ochrona kryptograficzna API przed atakiem umożliwia również skomplikowanie metody bcrypt oraz dokonanie całkowitej metody hashowania.
W przeszłości, publikowano w internecie fragmenty baz danych stron internetowych, które zawierają hasła użytkowników, zapisane jako hashe bez soli lub nawet w postaci zwykłego tekstu. Wraz z nowym API w PHP, administratorzy i programiści nie powinni mieć żadnych wymówek dla takiego niechlujstwa. Ochrona będzie od teraz prosta jak nigdy wcześniej.
Źródło: Heise, SEO Clerks