Nachtrag: noch sicher ist es, zwei Salt-Komponenten zu verwenden. Ein Salt wird mit dem Passwort (unterschiedlich je Datensatz) in die Datenbank gespeichert, der zweite Teil ist statisch und liegt irgendwo auf der Platte.

Kryptographisch ist das zwar nicht sicherer, aber wenn nur nur die Datenbank mit den Passwörtern flöten geht (was ja anscheinend sehr oft passiert) erschwert das das herrausfinden des Salts enorm und verzögert das errechnen noch ein Stück weiter.

Wenn jemand ein Passwort wirklich will, ist das aber ebenfalls kein Schutz - es ist lediglich bei der Massenverarbeitung ein Grund, dass das Vorhaben unrentabel machen könnte.