¿Es una buena idea forzar el último carácter de una sal?

Suponiendo que está utilizando sales por usuario (es decir, una sal diferente para cada cuenta de usuario), las tablas de arco iris ya son un medio poco práctico para atacar las contraseñas de hash (las tablas de arco iris se usan generalmente donde no hay sal o una Sal, que es común a todas las cuentas y, de preferencia, es conocida por el atacante antes de tiempo).

Cuando esté utilizando un esquema de hashing de contraseñas como bcrypt, si está buscando hacer que este sea más difícil para un atacante, es mejor usar los mecanismos proporcionados por el esquema (por ejemplo, el factor de trabajo) en lugar de invitar a su propio.

Primero: las sales no deben ser secretas. Por lo tanto, no estoy seguro de lo que se logra con este enfoque.

Segundo: si usted tiene que aplicar fuerza bruta a la sal, el atacante también puede hacerlo. Lo que asumo es que su enfoque depende de que el atacante no conozca su esquema de cifrado personalizado, y esto es una mala idea. La fortaleza del cifrado es que es seguro incluso si un atacante conoce su esquema. Si está utilizando un algoritmo de cifrado seguro, no necesita intentar "mejorarlo" (a menudo, mejorar un esquema conocido lo debilita).