Соли не добавляются, чтобы затруднить угадывание пароля на внешнем интерфейсе, они добавлены, чтобы убедиться, что хранение пароля не пропускает дополнительную информацию.
Фактически соль генерируется случайным образом для каждого пароля и сохраняется без какой-либо формы обфускации вместе с паролем.
Пароли никогда не хранятся в базе данных, сохраняется только хеш (MD5, SHA1, SHA2 * и т. Д.).
MD5 «пароля» всегда равно 286755fad04869ca523320acce0dc6a4. Если вы только что сохранили MD5 в базе данных паролей, вы можете просто найти эту строку и узнать, что пароль есть «пароль».
При добавлении соли '84824' сумма становится 2ca20e59df3a62e5dc4a3a0037372124. Но если у вас есть другая база данных (или другой пользователь использует тот же пароль), они могут иметь случайную соль 8999, что дает: 4e7a210a07958cfe24138a644cbb7f84
Дело в том, что если злоумышленник получит копию базы паролей, хэши паролей будут бессмысленными; вы даже не сможете определить, использовали ли 2 или более пользователей один и тот же пароль.
Edit:
Для сравнения - применяемая вами математическая формула может быть изменена на противоположную. Если вы выберете соль, то XOR соль с помощью хэша пароля, тогда злоумышленник может просто отменить операцию XOR и получить оригинальный хэш, в этот момент радужные таблицы чрезвычайно полезны.
Если вы считаете, что математическую формулу нельзя перевернуть, есть вероятность, что вы на самом деле теряете данные и сопоставляете несколько паролей с одним и тем же окончательным хешем. Это фактически увеличивает вероятность того, что злоумышленник найдет пароль для хэша, так как любой из соответствующих паролей будет работать.
Если вы выполняете XOR и сохраняете значение XOR в безопасности, тогда это просто дополнительный секрет, который нужно где-то хранить, и разглашение этого секрета фактически теряет все ваши пароли (опять же из-за радужных таблиц). С солями нет никаких дополнительных секретов, операцию нельзя отменить, но можно повторить, и каждый пароль необходимо атаковать индивидуально.
Редактировать: Конечно, теперь это совершенно актуально: Я только что вошел как вы