De todos modos, si una sal es solo una cadena aleatoria de caracteres, ¿cuál es el propósito de cambiar la sal de los usuarios cada vez que cambian su contraseña?
Desde la perspectiva de la codificación, en realidad es más difícil y menos eficiente obtener el Salt existente y reutilizarlo que generar un nuevo. El uso de la antigua sal requiere un viaje de ida y vuelta a la base de datos o el archivo, y requiere una mayor complejidad y mantenimiento del código en lugar de simplemente crear una combinación completamente nueva de sal + nombre de usuario, que debe tener un código para cuando se establece la primera contraseña.
En otras palabras, es más fácil, más rápido y más seguro usar solo el mismo código que ya tiene, lo que crea una nueva sal, ¿por qué hacer algo más? Desde una perspectiva de seguridad, menos código para mantener es más seguro.
Si el atacante ha obtenido la contraseña y la sal antiguas, puede estar calculando una tabla, un diccionario o algo similar para esa sal. Si la sal no cambia, ese trabajo aún sería valioso aunque se cambie la contraseña. Cambiar la sal obliga al atacante a comenzar de nuevo.
Tal vez no sea un gran beneficio, pero por otro lado, el costo de cambiar la sal es básicamente cero, por lo que no hay razón para no hacerlo.
Si un pirata informático ha encontrado una base de datos de nombre de usuario + salt + hash, y desea encontrar contraseñas en general, intentará una gran cantidad de contraseñas potenciales para varios usuarios; demasiados para almacenar los hashes calculados.
Si un pirata informático te persigue a ti y a nadie más, es posible que puedan almacenar todos los hash calculados, y si la contraseña cambia, es posible que ya tengan el hash en su tabla y descifre la contraseña de inmediato. Eso es si el hacker puede volver a la misma base de datos.
Entonces, por un lado, cambiar la sal solo es necesario para los usuarios que están específicamente orientados. Por otro lado, creo que cambiar la sal debería ser fácil, por lo que no hay razón para no cambiarla.