Como señalaron los lynks, la sal se almacena con el hash. El objetivo de las sales es hacerlo para que alguien no pueda atacar la base de datos en conjunto buscando una contraseña que coincida con el hash de cualquier usuario.
Por ejemplo, digamos que tenía la tabla de usuarios para el sitio web realmente grande A y que tenían 100 millones de usuarios. Si estuvieran usando un hash de 32 bits (que de todas formas no es seguro) y cada usuario tenía una contraseña que se resolvía en un hash diferente, entonces solo tendría que probar unas 43 contraseñas antes de encontrar una que coincida con algún usuario. Sin embargo, si se usa una sal diferente para cada una, entonces debo atacar cada contraseña individualmente.