Dein Vorschlag, einen geheimen (ich vermute in der Config eingestellten oder sowas) zusätzlichen Salt einzubauen, ist natürlich ein weiterer Baustein, der die Sicherheit erhöhen kann (aber nicht muss, hängt davon ab, ob ein Angreifer die Config gleich mitdumpen kann oder nicht) und der meine Vorschläge gut komplimentiert - aber nicht ersetzt.

Der geheime Salt hilft natürlich nichts, wenn der Angreifer bereits Vollzugriff auf sämtliche Daten hat - aber im "genannten" Szenario kommt die Datenbank abhanden, der Rest aber nicht. Es gibt genug Helden, die Ihre SQL-Dumps im Stammverzeichnis des Webs liegen lassen - eine Filetype-Suche in der Suchmaschine deiner Wahl wird erschreckendes ans Tageslicht befördern :)

PS: Ja, mein Beispiel für einen Salt war nicht sehr gut gewählt. Deine Wahl war aber dann in die andere Richtung übertrieben.

Ein 128-Byte ist ggf. etwas übertrieben, aber 64 solltens imho schon sein :)