Para el almacenamiento de contraseñas, no se recomiendan los hashes SHA256 con sal no . Esto se debe a que el propósito general SHA256 está diseñado para ser rápido. Rápido es exactamente lo que no desea para un algoritmo de hash de contraseña, ya que hace que los ataques de fuerza bruta y de diccionario sean mucho más eficientes.
Los hash de almacenamiento de contraseñas están diseñados para requerir una cierta carga de trabajo y, en algunos casos, un requisito mínimo de memoria. El buen esquema de almacenamiento de contraseñas está diseñado para ser difícil de serializar y / o optimizar.
El esquema de almacenamiento de contraseña recomendado en 2017 es el hash BCrypt, con PBKDF2 como opción alternativa, pero un poco menos considerada.
Para obtener una respuesta más completa, lea la sec. a href="https://security.stackexchange.com/users/655/thomas-pornin"> Thomas Pornin .