如何选择用于保护密码的哈希函数的盐？

1. 使密码检查更加困难，不建议使用。
2. 最好只是生成一个随机数（64位可能已经足够）。
3. 请参阅（部分内容）SO 1191112。盐不必保密，只需保证不同即可。

回答您的附加问题：还要将算法ID（可能是简单数字，也可能是名称字符串）与数据一起存储。随着升级，您会使用新的首选算法对新密码进行哈希处理，但在所有人都更改密码且没有存储使用旧算法的密码之前，您会保留旧算法。再次强调，这不必保密-它只允许您适应世界的变化。显然，如果旧算法突然被暴露为毫无价值，您需要考虑是否可以使用增量方法。但除非发生像那样的剧烈情况，否则逐步引入新的机制效果很好。尽量不要更改算法，以至于您同时进行三个或更多算法-尽管技术上方案可以管理它。还要设计数据库，使哈希大小可以增长而不会造成骚动（因此允许从64个字节扩展到128个字节，或从128个字节扩展到256个字节，或...）。

是的，盐值只是为了防止散列密码遭受彩虹攻击。通常我会为所有密码使用单个盐值。它存储在我的源代码或配置中，因此不存储在数据库中。但最好为每个用户使用不同的盐值，这样具有相同密码的两个用户将不会得到相同的哈希值。
您可以将盐值与密码一起存储在数据库中。盐的目标是防止预计算彩虹表。这需要耗费太多时间。比直接暴力破解密码要花费更多时间。即使知道盐值，也必须生成该盐值的完整彩虹表，这非常昂贵。因此，如果已知盐值，这并不重要。
挑选盐的方法并不重要，只要确保足够长即可。根据维基百科的说法，12位哈希（用于旧版Unix密码）非常难以打败，但有可能。128位（例如MD5使用的位数）在可预见的未来内无法被打败。
参见：http://en.wikipedia.org/wiki/Rainbow_table#Defense_against_rainbow_tables

盐并不是秘密。它们可以与哈希的盐+密码一起明文存储。为了避免字典攻击，哈希被加盐处理。使用随机值与密码一起存储或将用户名与密码进行哈希处理都是有效的选项。但是，我建议使用一个非常具体的哈希方案，即HTTP 摘要HA1哈希：user_name：realm：password。这有一个额外的好处，即能够验证HTTP Digest调用，这就是认证将用于自动化访问，例如您网站的REST编程API。

在谴责使用MD5而不是SHA1之前（如HTTP摘要方案哈希所需），但提供按需MD5哈希冲突仍远未实现，而自动访问的附加好处（考虑WebRequest、curl等）也不容忽视。