Con respecto a la función de PHP password_verify()
, ¿cómo se deriva la sal aleatoria "no lavada" de la salida de password_hash()
, dado que las funciones de hashing son deterministas? Me parece que, si la sal original puede derivarse del hash final, entonces la sal solo se usó para producir el hash final después de que la función hash haya completado su recuento de iteraciones. Si este es el caso, ¿para qué usar una sal en primer lugar? ¿Por qué no solo proporcionar un recuento de iteraciones arbitrarias (pero aún grandes)?