Phpass steckt jedes übergebene Passwort in eine spezielle mathematische Funktion. Die Funktion ist so aufgebaut, dass sie für ein Passwort immer das gleiche Ergebnis liefert, aus dem sich nur mit großem Aufwand das originale Passwort rekonstruieren lässt. Eine solche Funktion bezeichnet man als Hash-Funktion, die chaotische Ausgabe als Hash-Wert (oder auch Fingerabdruck des Passworts).
Wordpress und phpBB setzen auf das Framework phpass des Entwicklers Solar Designer.
Phpass setzt standardmäßig auf bcrypt. bcrypt beruht auf dem Blowfish-Algorithmus, bei dem es sich streng genommen gar nicht um einen Hash-, sondern um einen Verschlüsselungsalgorithmus handelt. Bcrypt nutzt einen aufwändigen Schlüsselinitialisierungsalgorithmus und verschlüsselt das resultierende Chiffrat immer wieder abwechselnd mit dem Salt und dem Passwort. Die Zahl der Runden ist eine Potenz von 2, der benutzte Exponent wird der erzeugten Zeichenkette vorangestellt.
Um die Sicherheit noch weiter zu erhöhen, bezieht Phpass eine zufällig gewählte Zeichenkette, das sogenannte Salt, mit in die Berechnung ein. Für jedes eingetippte Passwort kommt dabei ein anderes Salt zum Einsatz. Damit muss ein Angreifer wesentlich mehr Passwörter in seiner Rainbow Table ablegen, was Rechenaufwand und Platzbedarf beträchtlich erhöht. Als Quelle für das Salt benutzt Phpass auf Unix-Systemen »/dev/urandom«. Sollte sie nicht zur Verfügung stehen, greift es auf einen eigenen Pseudo-Zufallsgenerator zurück.