Todos mis usuarios tienen contraseñas seguras (entropía verdadera de 80 bits). ¿Cómo sé eso? Porque mi sitio web imaginario genera aleatoriamente las contraseñas para ellos (del lado del cliente). En ese contexto, ¿podría explicar por qué sería un problema almacenarlos como hashes sin sal (MD5, SHA1 o SHA256)?
Tales contraseñas seguras pueden ser almacenadas de forma segura sin sal con un algoritmo rápido como SHA256, no hay problema en eso.
Los problemas son diferentes, debe confiar en el cliente, el transporte seguro al servidor y asegurarse de que las contraseñas generadas sean impredecibles.
Suficientemente las contraseñas largas generadas por un generador de números aleatorios seguro con un algoritmo con salida larga (al menos 128 bits) y ninguna debilidad conocida (al menos SHA256) no será factible para la fuerza bruta (ya sea contra un solo hash o para calcular una tabla arco iris útil) y no será necesaria la salada.
Su descripción de su implementación no satisface los puntos en cursiva. La contraseña debe contener suficiente entropía para disuadir a la fuerza bruta. Debería ser al menos de 128 bits en estos días. Además, no hay forma de obtener verdadera aleatoriedad en un navegador sin extensiones de navegador no estándar *. El uso ingenuo de un PRNG no te da números muy aleatorios.
Editar:
* Esto ahora es posible con la API de criptografía web, pero cualquier biblioteca de contenedor que recurra a otras formas de generar números aleatorios debe usarse con cuidado.
Lea otras preguntas en las etiquetas passwords brute-force hash storage