Nicht alles, was andere veröffentlichen, ist automatisch richtig.

Bei einem Brut-Force Angriff von außen ist es egal weil der Hash und damit der Salt den Angreifer gar nicht interessiert. Die Berechnung von Passwörtern die aufgrund eines Konflikts und einem nur bedingt sicheren Zufall beim brut-force ausgelassen werden könnten dürfte auch eine anstrengende und teure Sportart werden. (Außerdem sollte mod_evasive und/oder fail2ban vor Brut-Force-Attacken schützen.)

Falls der Angreifer die Passwortdatenbank mit den Hashes aber hat, dann hat er zwingend auch die Salts. Dann nützt die kryptographische Sorgfalt bei Erstellen der Salts nichts. Wozu sollte ein Angreifer etwas vorhersagen, was er doch schon weiß?

Die Diskussion ist akademisch: Die Ersatzfunktionen sind ja nun wegen des Ablaufs der Unterstützung für PHP < 7.1 (und also ohne passwort_hash()) draußen.