Sufficientemente password lunghe generate da un generatore di numeri casuali sicuro hashed da un algoritmo con output lungo (almeno 128 bit) e nessuna debolezza nota (almeno SHA256) diventa irrealizzabile per la forza bruta (contro un singolo hash o calcola una utile tavola arcobaleno) e la salatura non sarà necessaria.
La tua descrizione della tua implementazione non soddisfa i punti in corsivo. La password dovrebbe contenere abbastanza entropia per scoraggiare la bruteforcing. Dovrebbe essere almeno a 128 bit in questi giorni. Inoltre, non c'è modo di ottenere casualità in un browser senza estensioni del browser non standard *. Usare in modo creativo un PRNG non ti dà numeri molto casuali.
Modifica:
* Questo è ora possibile con l'API di crittografia Web, ma qualsiasi libreria di wrapper che ricade su altri modi di generare numeri casuali deve essere utilizzata con cautela.