Nein, da ist kein sachliches Argument drin. Sondern lediglich die Feststellung, dass du dich an einer Einzelheit verbeißt, weil du offenbar nicht in der Lage bist, die Gesamtheit der Aussagen zu widerlegen, obwohl du das gerne würdest.

Dann wiederhole ich jetzt eben auch meine Darlegungen…

• Das Plus an Sicherheit gibt es nicht. In PHP vor 5.3 gab es keine Möglichkeit, kryptographisch sicheren Zufall zu erzeugen. Insbesondere nicht random_int(). In PHP 5.3 und später wurden meine Ersatzfunktionen gar nicht benutzt und konnten ergo die Sicherheit gar nicht mindern. Die Sicherheit der mit meinem Skript gehashten Passwörter war also stets auf dem jeweiligen "Stand der Technik" und wird es so lange bleiben wie PHP diesen mit den password_*-Funktionen unterstützt. Die Behauptung war aber, mein Skript sei unsicher - und diese Behauptung ist falsch.

• Die Behauptung war ferner, nur durch perfekten Zufall bei der Zusammensetzung des Salts wären die Passwörter sicher gehasht. Das ist aber nicht der Fall, weil es eben nur darauf ankommt, dass zu jedem Passwort (Genauer: Benutzer) ein anderer Salt verwendet wird um die Anzahl der notwendigen Rainbow-Tables groß zu halten. Die nachgeschobene Behauptung, dass einem Angreifer das Spekulieren vereinfacht würde, ist bei dieser technischen Anwendung einfach neben der Sache weil betreffs des Salts und des Hashes gar nicht spekuliert wird.

• Auch die Belege für Sicherheitsverletzungen durch schlechte Zufallsfunktionen waren neben der Sache. In allen diesen Fällen wurde fortlaufend etwas erzeugt, was vom Angreifer erraten werden musste und konnte - bei dem Passwort-Zeug muss aber der Salt vom Angreifer nicht erraten werden, just weil er den stets zusammen mit dem Hash bekommt.

• Die anderen Behauptungen betrafen schlechte oder falsche Konfiguration des Servers und das mein Skript auf alten Versionen von PHP laufen kann. Was, bitte, kann ich dafür wenn jemand SOWAS tut?