Siempre he usado una cadena adecuada de sal por entrada cuando hash las contraseñas para el almacenamiento de la base de datos. Para mis necesidades, almacenar la sal en la base de datos junto a la contraseña hash siempre ha funcionado bien.

Sin embargo, algunas personas recomiendan que la sal se almacene por separado de la base de datos. Su argumento es que si la base de datos está comprometida, un atacante aún puede construir una tabla de arco iris teniendo en cuenta una cadena de sal en particular para descifrar una cuenta a la vez. Si esta cuenta tiene privilegios de administrador, es posible que ni siquiera necesite descifrar otros.

Desde una perspectiva de seguridad, ¿vale la pena almacenar sales en un lugar diferente? Considere una aplicación web con el código del servidor y la base de datos en la misma máquina. Si las sales se almacenan en un archivo plano en esa máquina, es probable que si la base de datos está comprometida, el archivo de sales también lo estará.

¿Hay alguna solución recomendada para esto?