¿Necesito necesariamente definir el 'costo' para password_hash() ?
¿Hay algún valor predeterminado para el costo?
Sé que no se recomienda usar sal personalizada con password_hash() .
¿Cuánto tiempo lleva hash con password_hash() solo Y cuánto tiempo para password_hash() con bcrypt?
Según la documentación para password_hash() , el costo predeterminado es 10. En mi máquina, esto toma aproximadamente 60 ms para calcular. Aunque es mejor que una función hash no adaptativa (piense claramente en SHA1 o MD5), preferiría estar más cerca de 500-800 ms (cuesta 13 en mi máquina). La recomendación general que hago es realizar algunas mediciones en los servidores de producción y establecer el costo en lo que creas que puedes manejar razonablemente sin afectar demasiado al UX.