¿Es seguro almacenar el salt junto con la contraseña con hash en la base de datos? [duplicar]

  

pero si obtengo acceso a la base de datos y veo qué sal se usó para esa contraseña, puedo crear una tabla de arco iris con esa sal no

Sí, puedes, pero solo funcionaría esa contraseña. El punto central de las tablas de arco iris es que puede calcular una una vez y reutilizarla una y otra vez. La sal por contraseña significa que cada hash de contraseña debe ser atacado individualmente.

Entonces, para responder la pregunta, no, la sal es no un secreto .

  

Después de leer algunas publicaciones y artículos sobre cómo almacenar las credenciales de los usuarios en la base de datos, todos dijeron que deberíamos usar un salt diferente para cada usuario y guardar en la base de datos el salt y el hashing de password + salt

Correcto.

La sal es única para cada usuario.

También puede ser útil agregar Pepper, que no es único, pero se almacena fuera de la base de datos, ya sea en el código de la aplicación o en un archivo separado.

  

Me quedo con una pregunta. ¿Es seguro almacenar el salt junto con la contraseña con hash en la base de datos?

Sí.

  

Por favor, corríjame si me equivoco, pero si obtengo acceso a la base de datos y veo qué sal se usó para esa contraseña, puedo crear una tabla de arco iris con esa sal, ¿no?

Sí, pero la sal es única por persona. No es útil crear una tabla de arco iris para una persona.