Door Tintin and Milou: Als ik dit goed begrijp, is dit ook niet echt een hele goede oplossing, maar dit is echter ver buiten mijn kennis gebied over dit onderwerp. Als ik het goed begrijpt, zou het beter zijn om het wachtwoord met een salt te versleutelen. Bcrypt zelf gebruikt al een salt, het geheel wordt dus hoe dan ook al met een salt gehasht. Ik zie geen reden om een deel ervan ook weer van een salt te voorzien. de salt zou natuurlijk ook het userid kunnen zijn Nee, dat is geen goed idee, de salt moet een random waarde zijn, niet iets dat bekend of voorspelbaar is. De salt helpt een type aanval voorkomen dat met een zogenaamde "rainbow table" werkt. Stel dat er geen salts worden gebruikt en je over een gigantische verzameling mogelijke wachtwoorden beschikt, misschien gestolen, misschien gegenereerd uit een woordenboek of zo. Je zou dan voorafgaand aan een nieuwe aanval van al die wachtwoorden een hash kunnen berekenen, en als je dan vervolgens een bestand met wachtwoord-hashes weet te bemachtigen ...