улучшен ли bcrypt с кодовой фразой hmac?

дано:

$salt — псевдослучайно сгенерированная строка достаточной длины

$pepper — достаточно надежный закрытый ключ, известный только администраторам базы данных, где хранятся пароли

видите ли

$hash = bcrypt(hmac($userpassphrase,$pepper),$salt)

значительно превосходит

$hash = bcrypt($userpassphrase,$salt)

с учетом дополнительной нагрузки на управление/хранение $pepper как соль?

Я предполагаю, что hmac не делает значимого усиления результирующего $хэша, а бремя хранения $pepper перевешивает любые предполагаемые преимущества... но я хотел бы услышать обоснованные мнения.