Se si memorizzano gli hash di più password con lo stesso sale, si sta vanificando lo scopo dell'utilizzo di un sale. Salt deve essere unico per ogni password, altrimenti un utente malintenzionato potrebbe calcolare H (password || salt) solo una volta per ogni password candidato e confrontare il digest risultante con ogni hash nel tuo database, perché usano tutti lo stesso salt .
Inoltre, come menzionato nei commenti, sembra che tu stia confondendo il parametro di costo per qualcos'altro. Il "10" specifica quanti calcoli eseguiranno l'operazione bcrypt. Un valore maggiore aumenta il costo per gli attaccanti rendendo l'operazione più dispendiosa dal punto di vista computazionale.
Se si desidera verificare la presenza di password duplicate, non è necessario elaborare uno schema homebrew come questo. Se lo desideri, puoi prendere la password fornita, concatenarla con il salt del primo utente e cancellarla e confrontarla con l'hash memorizzato. Se non corrisponde, fai lo stesso per il secondo utente e così via. Ciò significa che ogni nuova password impostata richiederà l'attraversamento dell'intero database, ma rileverà le password che sono duplicati esatti.