He leído la nueva función password_hash() de PHP usa /dev/urandom para generar un salt seguro, sin embargo, esto supone un poco de ruido de los controladores de dispositivo.
¿Es posible que /dev/urandom no sea tan aleatorio cuando, por ejemplo, implementa un sitio web en una máquina virtual? (en el ejemplo, ¿se ejecuta la misma imagen de una instantánea del sistema operativo y en realidad lo que obtenemos es solo un "hash" del tiempo del sistema?) Supongo que la simulación del sistema operativo será determinista (o más determinista que) poco probable un sistema que se ejecuta en el metal desnudo.
EDIT:
¿Es /dev/urandom lo suficientemente aleatorio para permitir que se generen sales impredecibles en una máquina virtual?