PHP password_hash(): переносятся ли хэши паролей между системами?

Да, это правильно. В документации для password_verify указано:

Обратите внимание, что password_hash() возвращает алгоритм, стоимость и соль как часть возвращаемого хэша. Поэтому вся информация, необходимая для проверки хэша, включена в него. Это позволяет функции проверки проверять хэш без необходимости отдельного хранения соли или информации об алгоритме.

Конечно, также легко увидеть, что эта информация есть, проверив вывод password_hash и crypt (что, если немного обобщить, в основном одно и то же).

Да, хэши на основе crypt() переносимы; они могут быть переданы в любую систему и могут быть использованы для успешной проверки заданного пароля, поскольку он содержит все необходимые данные для выполнения этой проверки.

Обратите внимание, что высокая стоимость может привести к тому, что меньшим системам потребуется больше времени для проверки пароля из-за большего количества требуемых итераций.

Также позаботьтесь о требованиях к хранению; если вы всегда собираетесь использовать bcrypt, безопасно хранить хэши паролей в столбцах varchar(60). В противном случае рекомендуется varchar(255).

Алгоритм bcrypt включает в себя собственный вектор и/или соль и должен быть переносимым. Ни хэш, ни векотор/соль не содержат ничего специфичного для системы.

Это также должно быть применимо к любому другому алгоритму, который либо не использует vecotr (или другой элемент в дополнение к хэшу), либо включает этот хэш в свой вывод.

Я не знаю, где вы хотите сохранить хэш, но если вы сохраните его в базе данных, используйте собственные функции шифрования/хеширования базы данных, которые жалуются на это.

пример (с шифрованием)

INSERT INTO table (pass_hash,....) VALUES ( MD2 | MD4 | MD5 | SHA | SHA1 | SHA2_256 | SHA2_512 (" $password ") )
SELECT * FROM table WHERE pass_hash = MD2 | MD4 | MD5 | SHA | SHA1 | SHA2_256 | SHA2_512 (" $password ")