das man immer einen anderen/zufälligen Salt nehmen sollte ist klar. Und natürlich ist und bleibt das Ganze ein Katz- und Mausspiel mit der immer weiter zunehmenden Rechenleistung.

Ja, aber ein vermeidbares Katz-und-Maus-Spiel, wenn man den Hash des Passworts (mit Salt oder nicht) nur in der Datenbank speichert und ihn nicht aller welt als Cookie zur Verfügung stellt.