La sal no protege contra los ataques de fuerza bruta porque la sal generalmente se almacena junto al hash en texto claro, por lo que no agrega entropía adicional (desconocida). La sal es una mitigación contra los ataques de la tabla del arco iris .
La protección contra la fuerza bruta es proporcionada por el propio algoritmo de hashing. El algoritmo hash debe ser slow para que un ataque de fuerza bruta tomará una cantidad de tiempo inviable.
Además, la "pimienta" criptográfica agregada al texto claro + sal puede hacer que el ataque de fuerza bruta sea más difícil porque hace que un ataque de diccionario sea imposible. Por otro lado, si el hacker tiene acceso a la tabla de DB con los hashes y las sales, también puede tener acceso a la pimienta.
Si el sistema SAP usa pimienta, la longitud de la contraseña no importa, porque la pimienta será más larga que la contraseña de todos modos. Si no lo hace, entonces las contraseñas más cortas son más vulnerables ya que el ataque de fuerza bruta buscará primero las contraseñas más cortas.
Más información sobre sal contra pimienta aquí y aquí .