"Ha a jelszo hasheidet nem tudtad megvedeni, akkor a $key-t miert tudnad?"
Őszintén szólva nekem is az a bajom, hogy igen, lehet marha biztonságos jelszót előírni és még hozzá sózni is, de: attól, hogy a jelszó jó, még nem lesz az egész rendszer jó. Csak annyira lesz jó/megbízható/erős/bármi mint a leggyengébb láncszeme. Ami általában az ember. Ezért egy szintnél tovább nem érdemes a jelszavas mókát erőltetni, ha ennél nagyobb biztonságra van szükség, akkor legyen kétlépéses (faktoros) azonosítás, pl. smsben vagy extra védelem, ami a steamben is van, ha ismeretlen (új) gépről akar valaki bejelentkezni, akkor plusz kódot kér.
Tulajdonképp ezért is gondolkoztam el azon, hogy csináljak-e sózott jelszavakat: ha már a db dumpot meg tudják szerezni, akkor jó eséllyel nem nagy macera magát a saltot is megtalálni. És fordítva. De mivel marha egyszerű dolog, ezért egye fene, legyen.