Bu cevapların çoğu biraz yanlış yönlendirilmiş ve tuzlar ile kriptografik anahtarlar arasında bir karışıklık olduğunu gösteriyor. Tuzları dahil etmenin amacı, her bir kullanıcının şifresini karma hale getirmek için kullanılan işlevi değiştirmektir, böylece saklanan her şifre karmasının ayrı ayrı saldırıya uğraması gerekir. Tek güvenlik gerekliliği, kullanıcı başına benzersiz olmalarıdır, öngörülemez veya tahmin edilmeleri zor olmalarının hiçbir faydası yoktur.
Her kullanıcının tuzunun benzersiz olması için tuzların yalnızca yeterince uzun olması gerekir. Rastgele 64 bitlik tuzların bir milyar kayıtlı kullanıcıyla bile tekrarlanması pek olası değildir, bu yüzden bu iyi olmalıdır. Tek tek tekrarlanan bir tuz, nispeten küçük bir güvenlik endişesidir, bir saldırganın aynı anda iki hesapta arama yapmasına izin verir, ancak toplamda tüm veritabanında aramayı çok fazla hızlandırmaz. Çoğu amaç için 32 bitlik tuzlar bile kabul edilebilir, en kötü durumda bir saldırganın aramasını yaklaşık% 58 oranında hızlandıracaktır. Tuzları 64 bitin üzerine çıkarmanın maliyeti yüksek değildir, ancak bunu yapmak için güvenlik nedeni yoktur.
Kullanıcı başına tuzun üstüne site çapında bir tuz kullanmanın da bazı faydaları vardır; bu, diğer sitelerde depolanan şifre karmalarıyla olası çarpışmaları önleyecek ve 32 bit olsa bile genel amaçlı gökkuşağı tablolarının kullanımını önleyecektir. tuz, gökkuşağı masalarını pratik olmayan bir saldırı yapmak için yeterlidir.
Daha basit olan ve geliştiriciler bile bunu her zaman gözden kaçırır - eğer benzersiz kullanıcı kimlikleriniz veya giriş adlarınız varsa, bunlar mükemmel bir tuz görevi görür. Bunu yaparsanız, aynı parlak fikre sahip başka bir sistemin kullanıcılarıyla çakışmadığınızdan emin olmak için site çapında bir tuz eklemelisiniz.