Я с вами абсолютно согласен, но довольно часто дальше чтения мануалов из сети дело не заходит или ограничивается каким-то общим изданием типа "{Язык} для {уровня}".
Кто-то на эту «статью» посмотрит, увидит новые слова и у него уже отложится что-то в памяти.
На самом деле, вместо того что-бы добавлять соль в конец пароля, ее можно просто размазать по самому паролю.
Например если в качестве уникализатора (?) для соли у нас выступает имя пользователя (username), а пароль (password) и есть соль (!@#$%^&*).
То размазываем сначала соль по username, например простым чередованием символов
username + salt = u!s@e#r$n%a^m&e*
А потом размазываем данное значение по паролю таким-же способом
pua!sss@w#eorr$dn%a^m&e*
В итоге получаем пароль не поддающийся атаке по словарю и сложный для подбора.
А если еще пару раз взять md5(sha1(pua!sss@w#eorr$dn%a^m&e*) + md5(username) + sha(password) + username + !@#$%^&*).
Таким вот примерно способом можно решить проблему коротких паролей ровно до тех пор, пока атакующий не знает алгоритма обработки пароля с солью.
+ можно использовать еще медленные алгоритмы преобразования.
Нашел у них охапку XSSок, два месяца ждал от них ответа, через месяц они мне с барского плеча выдали 2000 грн и с них же содрали подоходный + заставили кредитку открыть.
Кто-то на эту «статью» посмотрит, увидит новые слова и у него уже отложится что-то в памяти.
Например если в качестве уникализатора (?) для соли у нас выступает имя пользователя (username), а пароль (password) и есть соль (!@#$%^&*).
То размазываем сначала соль по username, например простым чередованием символов
username + salt = u!s@e#r$n%a^m&e*
А потом размазываем данное значение по паролю таким-же способом
pua!sss@w#eorr$dn%a^m&e*
В итоге получаем пароль не поддающийся атаке по словарю и сложный для подбора.
А если еще пару раз взять md5(sha1(pua!sss@w#eorr$dn%a^m&e*) + md5(username) + sha(password) + username + !@#$%^&*).
Таким вот примерно способом можно решить проблему коротких паролей ровно до тех пор, пока атакующий не знает алгоритма обработки пароля с солью.
+ можно использовать еще медленные алгоритмы преобразования.
Новые технологии ростут как грибы под дождем.
Я уже час пытаюсь с хабра выйти.