我需要每个密码都使用“随机盐”还是整个数据库只需要用一次？

每个用户和每次更改密码时，至少应为其生成一个新的随机盐。例如，不要仅依赖于网站范围内的盐，因为这违背了使用盐的初衷。
为每个用户使用唯一的盐是为了防止如果两个用户有相同的密码，则它们不会得到相同的结果哈希值。这也意味着需要对每个用户单独进行暴力攻击，而不能预先计算出彩虹表。
然后将盐和密码的哈希结果存储在数据库中hash(salt + password)，以及每个用户的salt。您可以将它们存储在单独的列中，或者全部存储在一列中（用某些哈希中未使用的字符分隔，例如;）。只要能够检索到两者，就没问题。
但是，如果您的数据库被攻击，无论是由于某人获得本地访问权限还是通过SQL注入攻击，那么盐和最终哈希都将可用，这意味着对用户密码进行暴力攻击将变得轻而易举。为了解决这个问题，建议像The Rook一样，您还可以使用存储在本地文件中的站点密钥作为哈希方法的另一个输入，以便攻击者还需要知道这个密钥才能发起有效攻击。这意味着您的数据库必须被攻破，并且攻击者需要访问本地文件。因此使用hash(hash(salt + secret) + password)等方法。
在大多数算法中，你的目标是尽可能快地完成，但对于密码哈希，你希望减慢速度，这被称为密钥强化（有时也称为密钥拉伸）。如果你的哈希函数返回需要0.00001秒，那么有人可以尝试每秒暴力破解100,000个密码，直到找到匹配项。如果你的哈希函数需要1秒才能返回结果，对于登录应用程序的人来说并不是什么大问题，但对于破解密码来说就更麻烦了，因为每次尝试都需要1秒钟才能得到结果，这意味着使用原始哈希函数测试每个暴力破解密码所需的时间将增加100,000倍。
要使哈希函数变慢，只需运行多次即可。例如，你可以执行new_hash = salt + password + previous_hash 100,000次。如果速度太快，你可能需要将迭代次数调整为更高的值。如果想要稍后更改该值，请确保将迭代次数与用户记录一起存储，以便不影响以前存储的任何密码。
现在，你的用户记录应该有一个类似于此格式的字段 "$<algorithm>$<iterations>$<salt>$<hash>"（或者如果你愿意，可以作为单独的字段）。
当用户输入密码时，你可以从数据库中检索盐和迭代次数，并从本地文件中检索站点范围内的秘密，并验证当你使用盐和密码运行相同数量的迭代时，生成的哈希是否与存储的哈希匹配。
如果用户更改了密码，那么您应该生成一个新的盐。您使用的哈希方法并不重要（但哈希算法确实很重要）。上面我建议使用hash(hash(salt + secret) + password)，但同样也可以使用hash(hash(salt) + hash(secret) + hash(password))。您使用的方法不会改变密码存储的有效性，其中一个并不比另一个更安全。依靠如何将密码和盐哈希在一起的设计来提供安全性被称为security through obscurity，应该避免使用。
* 您不应使用MD5或SHA-1，因为它们被认为是不安全的。改用SHA-2系列（SHA256、SHA512等）。（Ref）

为了能够进行验证，盐必须与哈希值一起存储。最佳实践是每次创建或更改密码时使用不同的盐。

第二个选择是正确的。
传统上，盐值与哈希密码一起存储，但是未加密（通常是预先添加的，例如在Unix密码中）。
更新：大多数较新的Unix系统中使用的方法是这个。

动态更改盐比使用一次性静态盐要更安全。此外，使每个用户的盐唯一而不是一个全局盐。例如，每次用户登录时都更改它们。将盐连接到密码末尾再进行哈希处理是可以的，但这是一个容易被猜测的公式。最好自己想出一种公式，例如编织盐和密码以创建一个新字符串，然后进行哈希处理，因为md5（密码+盐）仍然容易受到字典攻击的影响。