Suficientemente las contraseñas largas generadas por un generador de números aleatorios seguro con un algoritmo con salida larga (al menos 128 bits) y ninguna debilidad conocida (al menos SHA256) no será factible para la fuerza bruta (ya sea contra un solo hash o para calcular una tabla arco iris útil) y no será necesaria la salada.
Su descripción de su implementación no satisface los puntos en cursiva. La contraseña debe contener suficiente entropía para disuadir a la fuerza bruta. Debería ser al menos de 128 bits en estos días. Además, no hay forma de obtener verdadera aleatoriedad en un navegador sin extensiones de navegador no estándar *. El uso ingenuo de un PRNG no te da números muy aleatorios.
Editar:
* Esto ahora es posible con la API de criptografía web, pero cualquier biblioteca de contenedor que recurra a otras formas de generar números aleatorios debe usarse con cuidado.