Értem, hogy hol érted félre, erre írtam, hogy "a salt *mindig* random" - a titkos salt is mindig random!
Titkos salttal úgy authentikálod a juzert, hogy a tőle kapott jelszót használva megpróbálod megtörni a saját random saltod, azaz bruteforce-szal végigmész az összes lehetséges salton, 1-2-3 másodperc alatt.
Ha letárolod a titkos saltod (algoritmusod) a site forráskódjában, az már nem titkos, meg fogják szerezni az adatbázissal együtt, ezt jól látod.
Az első állításod helyes, de csak akkor, ha a salt valóban titkos.
Mondjuk ez már inkább key stretching mint salt.
> több rendszer, több salt, így ha az user ugyanazt a jelszót használja, attól a hash még eltér
Ez alapvetően téves. A salt *soha* nem rendszerenként különbözik, hanem jelszavanként.