#56 Es que si la sal no es única para cada contraseña, de poco sirve. Lo mejor es dejarse de historias y utilizar una función estandarizada como PBKDF2, scrypt, bcrypt o Argon2, que ya se encargarán ellas de generar una sal segura.
#59 Lo se, pero, aunque le llamen pimienta, no deja de ser el salt global. Vamos que no es un concepto nuevo.
De hecho mucho opensource del que he visto el código al principio se referían al salt global como simplemente salt. Y con el paso de los años se ha ido añadiendo el salt por usuario como un factor más para defender la contraseña.
También es bastante común lo contrario, por ejemplo el campo de password del /etc/shadow es la union del salt + password hasheada (bueno, y el tipo de cifrado).
Ah, y el término pimienta no lo he inventado yo
blogs.dropbox.com/tech/2016/09/how-dropbox-securely-stores-your-passwo
www.usenix.org/legacy/events/sec99/full_papers/kedem/kedem.pdf
De hecho mucho opensource del que he visto el código al principio se referían al salt global como simplemente salt. Y con el paso de los años se ha ido añadiendo el salt por usuario como un factor más para defender la contraseña.
También es bastante común lo contrario, por ejemplo el campo de password del /etc/shadow es la union del salt + password hasheada (bueno, y el tipo de cifrado).