Quiero decir, por ejemplo, usas salting para proteger tu contraseña contra un ataque de diccionario. Pero cuando sé que la sal del Usuario X es jd38d83h8fh08h (porque se guarda como texto sin formato junto con la contraseña), podría usar esta sal con cada palabra en mi diccionario. ¿Por qué es seguro guardar una sal como texto sin formato?
Las sales no están diseñadas para proteger contra ataques de diccionario. La sal se usa para evitar una pre-imagen o un ataque de arco iris en el que se calcula una gran cantidad de contraseñas, y se puede consultar casi inmediatamente en lugar de semanas o meses después.
Colocar una gran cantidad de datos aleatorios antes de la contraseña lo hace imposible.
Además, el salt protege contra la misma contraseña que tiene el mismo valor hash, y obliga al atacante a calcular un hash nuevo para todas las contraseñas en lugar de usar el mismo hash para todas las contraseñas.
Si observara que una sal no se almacenaba como texto simple, disminuiría mi confianza en la seguridad del resto de la aplicación. La razón por la que esto es así es porque significaría para mí que el desarrollador a cargo no conoce el propósito y, posiblemente, el uso adecuado de un salt.
Encriptar una sal no perjudicaría la seguridad, pero ten en cuenta que tus pares expertos serán sospechosos de tu comprensión.