"Annyi, hogy a jelszó még nem lesz ismert - több nem"
Igen, erre gondoltam én is. :)
Ha nem sózod a hasht, akkor egy szivárványtáblával azért még könnyű visszafejteni egy valamilyen jelszót, ami könnyen lehet, hogy épp meg fog egyezni az eredetivel. Ha meg sózod, akkor a sót is le kell küldened a kliensnek, ami szintén nem tűnik túl jó ötletnek.
Szerver oldalon a hash-sel kezdesz még valamit, vagy direktben kerül összehasonlításra a db-ben tárolt értékkel? Csak mert ha utóbbi, akkor a megoldás pont olyan, mintha a plaintext jelszót tárolnád a db-ben.
Itt meg kell jegyeznem, hogy nem vagyok expert a témában, csak próbálom megérteni, hogy hogyan növeli a biztonságot a megoldás.