CakePHP usa lo stesso sale per tutti gli utenti?

DefaultPasswordHasher non utilizza il valore salt memorizzato nella configurazione, che viene utilizzato solo dalla classe WeakPasswordHasher , o hashing manuale da uno sviluppatore.

La classe DefaultPasswordHasher è un wrapper del PHP in% di password_hash che genera un salt per ogni password e usa l'algoritmo di bcrypt al momento. Vedi link

Non sconfiggerebbe lo scopo del sale. Lo scopo di salare una password è assicurarsi che l'hash della password non sia uguale se solo l'algoritmo è uguale.

Ciò significa che se alcuni Hash password "12345" con Algorithm "A" e restituirà "ABCDEF", allora se qualche altra persona ha hash con "12345" con Algorithm "A" otterrà anche "ABCDEF".

Lo scopo di salare la password è che se alcuni eseguono l'hashing con molte password (creando un Rainbowtable) o se ottengono qualche tipo di esportazione del database con password non salate, non avrà lo stesso identico valore della password di quella salata.

Deve quindi provare ad hash la combinazione password + sale per ottenere lo stesso valore del suo valore calcolato in precedenza.

Ma accetto, questo non è il modo migliore per salare la password. Sembra più simile a un Pepper codificato a macchina di un Salt.