Soweit, so gut. Nun liest man ja häufiger davon, dass man dem ganzen einen - am besten individuellen - Salt beimengen sollte. Was ich nicht verstehe... ein potentieller Angreifer penetriert via Brut-Force mein Formularfeld. Was genau hätte der Salt hier für einen Vorteil? Wenn er Name+Passwort richtig trifft, hat er doch sowieso Zugang...?

Salts schützen nicht gegen Wörterbuchatacken auf schlechte Passworte.
Salts sollen dagegen schützen, dass jemand aus dem hash ein gültiges Passwort ableiten kann. Dies setzt voraus, dass jemand deine Liste aus der DB stehlen kann.

Ja ok, es gibt noch Idioten, die sich überall mit gleichem Namen und Passwort Accounts erstellen. Hier kann ein Salt schützen, falls in einem anderen Account eine Kollision zum Passwort gefunden wurde (also ein alternatives Passwort, das den gleichen Hash erzeugt.)

mfg Beat