Drupal 8 en Drupal 7 gebruiken standaard SHA512 met een zout. Ze voeren de hash door PHP's hash meerdere keren functioneren om de berekeningskosten van het genereren van de laatste hash van een wachtwoord te verhogen (een beveiligingstechniek genaamd uitrekken ).
Bij Drupal 8 is de implementatie object georiënteerd. Er is een WachtwoordInterface die een hash-methode definieert. De standaardimplementatie van die interface is in de PhpassHashedPassword klas. Die klasse' hash methode roept de crypt methode die SHA512 doorgeeft als het hash-algoritme, een wachtwoord en een gegenereerde salt. De crypt-methode van de klasse is bijna hetzelfde als Drupal 7's _password_crypt() methode.
Met Drupal 7 is de implementatie opgesplitst in een aantal globale functies:user_hash_password() en _password_crypt() .
Drupal 6 gebruikt MD5 zonder zout. De relevante functie is user_save() .