Come sottolineato da lynks, il sale viene memorizzato con l'hash. Il punto sali è fare in modo che qualcuno non possa attaccare il DB nel suo complesso cercando una password che corrisponda all'hash di qualsiasi utente.
Ad esempio, diciamo che avevo la tabella utenti per il sito web veramente grande A e che avevano 100 milioni di utenti. Se utilizzavano un hash a 32 bit (che comunque non è affatto sicuro) e ogni utente aveva una password risolta con un hash diverso, avrei dovuto provare solo 43 password prima di trovarne una che corrispondesse ad un utente. Se, tuttavia, viene utilizzato un sale diverso per ciascuno, quindi devo attaccare ogni password individualmente.