Drupal 8 och Drupal 7 använder SHA512 som standard med ett salt. De kör hashen genom PHPs hash fungerar flera gånger för att öka beräkningskostnaden för att generera ett lösenords sista hash (en säkerhetsteknik som kallas stretching ).
Med Drupal 8 är implementeringen objektorienterad. Det finns en Lösenordsgränssnitt som definierar en hash-metod. Standardimplementeringen av det gränssnittet är i PhpassHashedPassword klass. Den klassen' hash metoden anropar krypta metod som skickar in SHA512 som hashalgoritm, ett lösenord och ett genererat salt. Klassens krypteringsmetod är nästan densamma som Drupal 7:s _password_crypt() metod.
Med Drupal 7 är implementeringen uppdelad i ett par globala funktioner:user_hash_password() och _password_crypt() .
Drupal 6 använder MD5 utan salt. Den relevanta funktionen är user_save() .