Vorallem über die Tatsache, dass der Angreifer auch die salt-Werte aus der Datenbank hat, wenn ihm das Eindringen gelungen ist, hab ich länger gegrübelt, warum es dann dennoch Sinn macht.

Um es nochmal zusammenzufassen, für andere die nicht lange nachgrübeln:

Ein Salt ist lediglich dazu da, das Attackieren von vielen Passwörtern unrentabel zu machen - ein einzelnes schlechtes Passwört schützt ein Salt-Algorithmus nicht effektiv genug.