Используя PHP, я кодирую пароли, используя функцию hmac с алгоритмом sha256. Я не уверен, как правильно хранить соль.
Вся суть хэширования пароля заключается в том, что хакер получает доступ к базе данных. Если я храню соль в db в той же строке, что и хешированный пароль, разве это не так, как будто я передаю хакеру "секретный код"? Я поднимаю дверь с замком и вручаю злоумышленнику ключ.
Может кто-нибудь объяснить мне, как они собираются хранить соль?