Leí este artículo relacionado: Hashed pw storage with random salt que está relacionado con mi pregunta, pero en la pregunta y en las respuestas también mencionan almacenar la sal aleatoria utilizada para cifrar la contraseña en la base de datos.
Ahora estoy usando bcrypt para las contraseñas de hash y al hash de la contraseña genero un salt aleatorio y hash con ese PERO no almaceno el salt después porque bcrypt puede verificar sin eso. ¿Es una buena / mala práctica? Si es así, ¿por qué?
No puedo comentar, así que responderé. Bcrypt ya añade una sal. ¿Hay alguna razón por la que quiera agregar la contraseña dos veces?
Como señaló Steffen Ullrich en la posible pregunta duplicada ( enlace ):
De una descripción de bcrypt en Wikipedia: ... El resto de la cadena de hash incluye el parámetro de costo, una sal de 128 bits (Radix-64 codificada como 22 caracteres) y 184 bits del valor de hash resultante (Radix -64 codificado como 31 caracteres) Por lo tanto, la sal se incluye automáticamente en la cadena de salida, lo que significa que no hay necesidad de agregarla usted mismo.
El hash producido por la función bcrypt contiene sal aleatoria. De esta manera la sal no necesita ser almacenada en ningún otro lugar. Wikipedia tiene un buen artículo en bcrypt: enlace
Lea otras preguntas en las etiquetas passwords hash encryption