moin,

zu PASSWORD_DEFAULT habe ich selbst cost und salt manuell angegeben z.B.:

Das ist keine gute Idee!

password_hash() kann mit dem nächsten PHP-Update andere Algos und eventuell Vorschriften benutzen, die dann einen Salt größerer Länge und/oder mehr Runden (costs) verlangen. Die Funktion wird das selbständig richtig und besser ermitteln als Du zu Fuß oder willkürlich.

password_hash() dokumentiert die verwendeten Algos und Vorschriften zwischen den ersten $-Symbolen. Man kann danach suchen.