A második fontos pont az úgynevezett sózás. Ez annyit tesz, hogy nem magát a jelszót hash-eled le, hanem hozzáteszel egy felhasználónként egyedi véletlen generált karaktersorozatot, amit plain textben is eltárolsz.
Tehát ha mondjuk van uzsolt felhasználó, aki majd beléphet, választja jelszónak, hogy password, akkor generálok egy karaktersorozatot, mondjuk legyen az, hogy "kutyagumi", akkor a "kutyagumipassword"-ra csinálok egy sha256-ot, és ezt tárolom el mysql-ben. A kutyagumi szót meg kirakom pl. egy uzsolt.salt fájlba, és amikor valaki megpróbálkozik egy jelszóval, eljön a szerverre, elécsapom az uzsolt.salt fájl tartalmát, arra képzem az sha256-ot, és hasonlítom a mysql-ben tárolttal?