Desde que he creado sitios que requieren que un usuario inicie sesión con un nombre de usuario y contraseña, siempre he mantenido las contraseñas un tanto seguras almacenándolas en mi base de datos con una frase salt. Bueno, recientemente leí que es una mala práctica usar una sola palabra de sal estática. En su lugar, deberías usar una sal aleatoria para cada usuario.
Entiendo que estoy generando una palabra salt aleatoria para cada usuario. Pero mi pregunta es, si tiene que almacenar la sal aleatoria también en su base de datos para poder usarla para hacer una referencia cruzada más adelante para verificar la contraseña ingresada por los usuarios cuando inician sesión. ¿No lo hace tan fácil si los nombres de usuario y Las contraseñas son robadas de su base de datos, ¿entonces no tendrían el mismo acceso a los valores de sal aleatorios? Parece que esa capa adicional de seguridad realmente no agrega mucho a la ecuación.
¿O voy a hacer todo esto mal?