Se la tua password è memorizzata correttamente, viene memorizzata facendo un hash della password e . Anche se un cracker che viola il sistema su cui hai creato un account può quasi certamente ottenere il sale se riesce a ottenere l'hash, un attacco di durata non banale blocca gli attacchi pre-calcolo e costringe l'attaccante ad attaccare ogni password separatamente. Un algoritmo hash opportunamente lento rende gli attacchi su una singola password difficili, a condizione che la password sia abbastanza strong da non essere in un dizionario né vulnerabile agli attacchi euristici.
Quindi, per una password correttamente memorizzata , l'hash della password da sola è essenzialmente inutile per un utente malintenzionato. (Ovviamente, molti siti non memorizzeranno le password correttamente, ma non si può fare altro che evitare il riutilizzo della password.)
C'è molto di più sulla salatura qui: link
Modifica: ho eseguito il seguente esperimento con hashes.org. Ho prima calcolato l'hash MD5 di "love", una password tristemente comune. È stato trovato su hashes.org, come previsto. Ho quindi calcolato l'MD5 di "love" concatenato con "315379008", un numero casuale a 32 bit. Come previsto, è stato trovato non . Un vero sistema di password userebbe un hash molto più lento di MD5 e un sale molto più lungo di 32 bit, ad esempio 128 bit, riducendo ulteriormente le possibilità di trovare un hash precalcolato, anche per un password molto comune (Naturalmente, "amore" è ancora una password terribile, anche se correttamente salata, perché cadrà sull'attaccante che ha accesso al sale. hai bisogno di una password complessa.)