Ein normaler Salt würde dafür auch reichen. Er kann ruhig bekannt sein, da dies dem Angreifer beim Ermitteln eines möglichen Passwortes nicht helfen sollte.

Doch, genau das tut ein Salt: er hilft bei der ermittlung des Klartextpassworts und vermindert dadurch die Sicherheit des Klartextpassworts.

Zwar sind Kollisionen extrem unwahrscheinlich doch bei einer Kollision und unter Kenntnis des Salt-Algorithmus kann man das Klartextpasswort wesentlich sicherer bestimmen als ohne Salt.

Aber deiner Aussage entnehme ich, das die Schutzmaßnahme den Mehraufwand des Nutzers nicht rechtfertigt?

Ja der höhere Aufwand für den Angreifer, bedeutet in diesem Fall gleichzeitig ein höheren Aufwand für den normalen Benutzer.

Der der vergleichsweise geringe Zusatzaufwand spielt bei einem gezielten Angriff auf ein einzelnes Passwort oder Login keine Rolle.

Salts helfen vorrangig zum Massenhaften schützen von schlechten Passwörtern, aber nur unwesentlich zum Schutz eines einzelnen Passworts.

Der Einsatz von Captchas erschwert nur rein automatisierte Angriffe, macht sie aber längst nicht unmöglich.

Pryos.org hat das denke ich in einem anderen Kontext gemeint, sprich der sich einloggende Benutzer soll den Salt nur in der Art eines Captachs selbst eingeben.