дано:
$salt — псевдослучайно сгенерированная строка достаточной длины
$pepper — достаточно надежный закрытый ключ, известный только администраторам базы данных, где хранятся пароли
видите ли
$hash = bcrypt(hmac($userpassphrase,$pepper),$salt)
значительно превосходит
$hash = bcrypt($userpassphrase,$salt)
с учетом дополнительной нагрузки на управление/хранение $pepper как соль?
Я предполагаю, что hmac не делает значимого усиления результирующего $хэша, а бремя хранения $pepper перевешивает любые предполагаемые преимущества... но я хотел бы услышать обоснованные мнения.