¿CakePHP usa la misma sal para todos los usuarios?

DefaultPasswordHasher no usa el valor de sal almacenado en la configuración, que solo es usado por la clase WeakPasswordHasher , o hashing manual por un desarrollador.

La clase DefaultPasswordHasher es una envoltura del PHP password_hash incorporado que genera un salt para cada contraseña y usa el algoritmo bcrypt actualmente. Consulte enlace

No derrotaría el propósito de la sal. El propósito de incluir una contraseña es garantizar que el hash de la contraseña no sea igual si solo el algoritmo es igual.

Eso significa que si algunos Hash contraseña "12345" con el algoritmo "A" y devolverá "ABCDEF", entonces si otra persona hashes con "12345" con el algoritmo "A" también obtendrá "ABCDEF".

El propósito de compartir la contraseña es que si algunos hacen el hashing con muchas contraseñas (creando un Rainbowtable) u obtienen algún tipo de exportación de base de datos con contraseñas sin sal, él no tendrá el mismo valor exacto que el de la contraseña.

A continuación, debe intentar codificar la combinación de contraseña y sal para obtener el mismo valor que su valor calculado previamente.

Pero acepto, esta no es la mejor manera de compartir la contraseña. Eso se parece más a un Pepper codificado que a una Sal.