Per quanto riguarda la funzione PHP password_verify()
, in che modo il sale casuale "unhashed" deriva dall'output di password_hash()
, dato che le funzioni di hashing sono deterministiche? Mi sembra che, se il sale originale è in grado di derivare dall'hash finale, il sale è stato usato solo per produrre l'hash finale dopo che la funzione di hashing ha completato il conteggio dell'iterazione. Se questo è il caso, perché usare un sale in primo luogo? Perché non fornire semplicemente un numero di iterazione arbitrario (ma comunque ampio)?