Mahlzeit,

In seinem Fall steht der Salt offensichtlich als fixer oder berechenbarer, nicht-individueller String irgendwo im Programm oder in einer Datei.

Wieso? Kann genau so gut sein, dass da eine komplexe Funktion mit einer aufwändigen Berechnung ist. Abgesehen davon hebelt auch ein statischer "salt", wie gesagt, jeden Rainbow-Table aus denn wenn ein Angreifer an den Salt kommt, ist er eh so weit auf dem Server dass er an die Zugangsdaten der Datenbank kommt und auch auf den restlichen Webspace zugreifen kann. In dem Fall hat der Betreiber ganz andere Probleme als die, dass jemand extra dafür einen Rainbow-Table erzeugt um genau für diesen Salt einen zu haben.

Im Übrigen, wenn der Hacker an einen statischen Salt kommt, kommt er auch an die Funktion wenn einer berechnet wird und wir haben den exakt gleichen Effekt.

Wie gesagt, man sollte die vorgesehenen Funktionen nutzen, trotzdem sind andere Umsetzungen nicht pauschal unsicher.