• Das System muss auf seine Kernaufgaben beschränkt werden. Schichten, die bspw. nur der Abwärtskompatibilität dienen, sollten sich nicht darin wiederfinden.

Schöne Theorie. Soweit Du das eventuell von einer Drittquelle hast beachte bitte das "sollte nicht". Das "sollte nicht" heißt nicht "darf nicht".

Und so liegt der Fall auch hier: In der Realität jenseits der Akademien finden sich genügend Kunden irgendwelcher Hoster welche nicht die jeweils aktuellste PHP-Version verwenden (Kunden: können). Und es ist eben so, dass diesen ein Workaround geboten werden muss, wenn - was sinnvoll ist - diesen Mantelfunktionen wie eben password-* zur Benutzung empfohlen werden. Es sei denn man will diese Leser ganz bewusst nicht bedienen.

Tatsache ist, dass durch zwei oder drei Mantelfunkionen die Sicherheit nicht verletzt wurde, denn diese waren "sauber". Wird eine zu alte PHP-Version benutzt, welche die zugrunde liegenden und als noch vertretbar sicher bewerteten Hash-Algorithmen nicht kennt dann tritt der Fall ein, dass Passwörter nicht gespeichert werden bzw. eine positive Authentifikation definitiv nicht stattfindet. Das ist es, was man - jedenfalls jenseits rein akademischer Betrachtungen - erwartet und als "sicher genug" erachtet.

• Es muss eine Modularisierung stattfinden, die die große Aufgabe "Loginsystem" seziert, in kleine Unteraufgaben zerteilt und klare Verantwortlichkeiten schafft.

In einem Wiki-Beitrag mit wie "vielen" Zeilen Code dazu? Ei freilich, man kann jede Aufgabe so lange zerlegen, verteilen und den dann für Teilaufgaben bestimmten dann Verantwortlichkeiten zuweisen und dieses für die Teilaufgaben von neuem beginnen bis die ursprüngliche Aufgabe gar nicht mehr erfüllt wird. Diese Kritik erscheint mir im Hinblick auf die wenigen Zeilen Programmcode als "überzogen akademisch" und vorliegend "völlig deplaziert".

• Der Kontrollfluss muss vorhersehbar sein, mit eindeutigen Eintritts- und Austrittspunkten. D.h. insbesondere keine exit- oder die-Statements in der Schnittstellen-Implementierung.

Ebenso: Akademisch, deplaziert. Hier geht es nicht um große Organisationen oder ein großes Programm.

Überlege mal, was hinsichtlich der verunsicherten Leser passieren würde, wenn der Code Deinen Forderungen gerecht werden würde. Viele würden dann nämlich gar nicht mehr durchsehen und vor lauter "wie schreibe ich Code für große Programme und Organisationen" wäre das eigentliche Anliegen des Wikibeitrags unsichtbar geworden.

100%ige Sicherheit ist eine Illusion, aber (in)formelle Überprüfbarkeit ist die Mindestvoraussetzung, die wir schaffen müssen.

Du wolltest an anderer Stelle eine automatisierte Überprüfung. Aber irgendwie erscheint es mir höchst zweifelhaft, ein zuvor übersichtliches und überschaubares Programm zum Zwecke des Ermöglichens der automatisierten Überprüfung aufzublähen. Denn die alte Regel, wonach die Wahrscheinlichkeit von Fehlern mit der Kompliziertheit eines System ansteigt, die von der zweiten Regel, wonach die Wahrscheinlichkeit von unentdeckten Fehlern mit der Anzahl der Fehler überhaupt ansteigt, begleitet wird, wirkt doch gerade in einem solchen Fall.