das salt sollte aber für jeden benutzer verschieden sein, da sonst wiederum eine liste mit vorbereiteten passwörtern erzeugt werden kann, und ein test auf gleichheit möglich ist.
ein benutzer wird sich dies aber nicht zusätzlich merken. eine zusätzliche funktionalität hierfür ins system einzubauen ist wohl auch unsinn.
daher mache ich meine passwort-hashes mit einem einfachen dynamischen teil, z.b. den benutzernamen. also hash=md5(benutzerid+passwort).