Estoy desarrollando un servicio de autenticación.
Sé que la práctica de generar una sal única por usuario, almacenada en la base de datos con la contraseña de hash, para evitar ataques de tablas arco iris.
Acabo de tener la idea de agregar un segundo salt, dentro del código, que no existe en la base de datos, por lo que si la base de datos se filtra (pero no el código), incluso las contraseñas débiles no son vulnerables a la fuerza bruta.
Me parece una buena idea, pero como no soy un experto, me gustaría tener la confirmación de personas que son buenas en seguridad de la información.