De sites die je gevonden hebt kraken de hashes niet, ze zoeken ze op in een database. Niet alle md5 hashes staan in die database, en die situatie levert de situatie op dat de hash niet gevonden kan worden. Een hash is in principe niet te kraken omdat het niet terug te herleiden is tot de originele tekst. Wat een hash wel/niet veilig maakt is de kans op een collission: twee verschillende teksten die de zelde hash opleveren. Een salt is een tekenreeks die aan een password toegevoegd wordt om te zorgen dat de kans kleiner is dat de uiteindelijke hash in een dergelijke database te vinden is. Een voorbeeldje. Stel mijn password is "test", de bijbehorende md5 hash is dan 098f6bcd4621d373cade4e832627b4f6, de kans is groot dat je die gewoon terug kan vinden. Om het iets veiliger te maken zet ik in mijn systeem een vaste tekenreeks achter het password en daar neem ik de hash van, bijvoorbeeld "test|mijnsalt", de hash daarvan is 79b6729694d895e58a88111168f7d871 en heeft een kleinere kans dat je die terug kan ...