Ok, ich versuche zu verstehen, warum Salz verwendet wird.

Wenn sich ein Benutzer registriert, erstelle ich ein eindeutiges Salz für ihn / sie, das ich in der DB speichere. Dann hash ich es und das Passwort mit SHA1. Und wenn er / sie sich anmeldet, hasche ich es erneut mitsha1($salt.$password).

Aber wenn jemand meine Datenbank hackt, kann er das gehackte Passwort UND das Salt sehen.

Ist das schwieriger zu knacken, als nur das Passwort ohne Salt zu hacken? Ich verstehe nicht ...

Entschuldigung, wenn ich dumm bin ...