Geração de sal e software de código aberto
Pelo que entendi, a melhor prática para gerar sais é usar alguma fórmula enigmática (ou até constante mágica) armazenada em seu código-fonte.
Estou trabalhando em um projeto que planejamos lançar como código aberto, mas o problema é que com a fonte vem a fórmula secreta para gerar sais e, portanto, a capacidade de executar ataques de tabela do arco-íris em nosso site.
Eu acho que muitas pessoas já contemplaram esse problema antes de mim, e eu estou me perguntando qual é a melhor prática. Parece-me que não faz sentido ter um sal se o código for de código aberto, porque os sais podem ser facilmente submetidos a engenharia reversa.
Pensamentos?