Pelo que entendi, a melhor prática para gerar sais é usar alguma fórmula enigmática (ou até constante mágica) armazenada em seu código-fonte.

Estou trabalhando em um projeto que planejamos lançar como código aberto, mas o problema é que com a fonte vem a fórmula secreta para gerar sais e, portanto, a capacidade de executar ataques de tabela do arco-íris em nosso site.

Eu acho que muitas pessoas já contemplaram esse problema antes de mim, e eu estou me perguntando qual é a melhor prática. Parece-me que não faz sentido ter um sal se o código for de código aberto, porque os sais podem ser facilmente submetidos a engenharia reversa.

Pensamentos?