Für die PHP 5.3 Kompatibilität gibt es in dem Skript einen eigenen Salt-Generator, der ist allerdings kryptografisch nicht sicher.

Äh? Nach langer und harter Diskussion um den Salt waren wir doch konsent, dass der keine kryptographische Sicherheit braucht. Oder ist der angespochene "credential-specific salt" nicht der beim Speichern des Passworts verwendete?

Aber gut, dass Du mich erinnerst: Die Ersatzfunktionen für password_hash() und Co. sollte ich endlich mal "kicken" und durch eine Prüfung mit Fehlermeldung ersetzen. Weil die an anderer Stelle für Unsicherheit sorgen, denn so ist es "notlos" möglich das Skript auf asbachalten und also per Definition unsicheren Installationen zu "fahren".