Es gibt ein Tutorial, das ich über das sichere Speichern von Passwörtern geschrieben habe , erklärt es, warum es nicht notwendig ist, die Hash-Parameter zu verbergen.
Wenn Sie diese Parameter ausblenden, fügen Sie tatsächlich ein serverseitiges Geheimnis hinzu (ein Angreifer muss den Algorithmus und den Kostenfaktor erraten). Es gibt jedoch viel bessere Möglichkeiten, ein solches Geheimnis hinzuzufügen, werfen Sie einen Blick auf den letzten Teil des Tutorials über das Verschlüsseln des Hash-Werts mit einem serverseitigen Schlüssel.
