Cake2系だと同じパスワードだとハッシュ値も同じになっていたが、
3系のDefaultPasswordHasherは同じパスワードでも違うハッシュ値が返るようになった。

Authentication - 3.x

DefaultPasswordHasher uses the bcrypt hashing algorithm internally, which is one of the stronger password hashing solutions used in the industry.

訳すと、

DefaultPasswordHasherはbcryptのハッシュ化アルゴリズムを使用しています。これは工業的に使われている強いパスワードハッシュの解決策の一つです。

bcyptとな。と思って調べると調べた方がいらっしゃったので引用させていただく

BCrypt(Blowfish暗号)について調べたので文書化してみました - Kamiya::Memo

① $2a$ (1〜4文字目)

暗号化のバージョンです。
~~~~

② $10$ (4〜7文字目)

コストと呼ばれる数値です。ここを大きくしたほうが復号が困難になりますが、サーバへの負荷も大きくなります。4から31までが指定できるようです。

~~~~

③ OTKlbteacFY8DOeZY5imi. (コストの後からの22文字)

この22文字は、ソルトと呼ばれる文字列です。 上の文字列はドットで終わってますが、④に示す暗号本体との区切り文字は無く直接連結されています。

~~~~

④ wvNLmJ1WDenLlDSzXfFxizVX.D1BNfu (残りの部分)

暗号化パスワードの本体です。 ①〜③で指定されたオプションに従って暗号化されたパスワードの本体がこの文字列となります。

~~~~

⑤ ペッパー

~~~~

つまり、/config/app.phpにsaltを設定したのとは別にハッシュ内にsaltを持っていて、ハッシュ内のsaltがハッシュ化の度に違う値になるため同じパスワードをハッシュ化しても違う値になるということですね。

Cakephp3の認証は随分としょっぱくなっているようです。