>> Особенная, состоящая из статической и динамической части, при этом статическая хранится в конфиге
> Т.е. утекла каким-то образом статическая часть, здравствуй генерация новых паролей.1 НЕТ! Без динамической части соль бесполезна, для генерации нужна и соль и данные из БД для каждого пользователя!
2 Для password_hash()/password_verify() здравствуй генерация новых паролей By Design!
> А если утекла статическая часть, то какова вероятность того, что злодей знает
> алгоритм готовки хеша?
Если он получил доступ к ssh, то тут, конечно, уже ничего не поможет.
Но если он каким-то образом получил доступ только к MariaDB, причём прецеденты были, то это ему никак не поможет в отличие от password_hash()/password_verify() где достаточно просто всунуть валидную хэш для админа. (P.S. И да id админов в конфиге вручную задаю)
> Соль вообще-то не обязана быть скрытой, она вообще про другое.
Я знаю, но меня не устраивает такой принятый By Design порядок вещей, что можно получив доступ к СУБД тупо вставить хэщ другого пользователя, пароль которого тебе известен или вообще самому сгенерировать её и такой хэш будет валиден.
> Вот, пожалста, хеш пароля, какой он?
> $2y$10$kCkVDOxVduJsFkeD5mVcMO2YxK3/BcV02a0rmse6/KE6qjfDwSGcK
Да мне плевать какой он, я сгенируирую новый стандартным способом, пароль которого буду знать и заменю хэш в таблице админа, сделаю свои тёмные дела, верну старый хеш назад, и про это даже никто не узнает, если конечно в access log не посмотреть, а если админ заходит из той же сети или с телефона такого же оператора то он даже не сможет отличить он это входил или нет.