È noto che tutti gli hash delle password devono essere salati, ma spesso emerge una discussione su quale strategia di salatura utilizzare:
- Un sale comune, hardcoded nell'applicazione, lontano dai dati
- Un hash saltato per uno, archiviato nel database accanto all'hash, mai riutilizzato
In che modo questi due approcci si confrontano con diversi attacchi o perdite? È uno più sicuro dell'altro?