Moin,

Ist es egal, welches Salz man verwendet, oder hat es mit dem "IN" eine bestimmte Bewandtnis?

Es ist egal. Naja fast: Man sollte einen zufälligen Wert als Salt verwenden und so überhaupt möglich auch nicht den gleichen Wert bei zwei verschiedenen Usern.

Das ist als primitiver Schutz gedacht: Wenn das Salt bei allen Usern gleich ist, kann man einfach durch Vergleich der gecrypteten Werte feststellen welche User das gleiche Passwort verwenden. Ausserdem muß eine Brute Force-Attacke andernfalls mehr Werte berechnen (nämlich einmal für alle verwendeten Salts) wenn man eine ganze Passwortdatei angreift. Nicht zuletzt erschwert es auch den Aufbau eines Wörterbuchs welches cryptwerte auf Passwörter abbildet, weil man ein Wörterbuch für jeden der 4096 möglichen Saltwerte braucht.

Wenn der Generator immer das gleiche Salt ausspuckt, würde ich dazu tendieren das als Bug zu betrachten.