Na to je lepší použí PBKDF2 neby bcrypt, nikoliv takovouto prasečinu. A jako minimální řešení pro trochu bezpečnosti je třeba mít pro každého usera jeho vlastní dokonale náhodnou sůl vygenerovanou kryptograficky bezpečným generátorem, třeba blum blum shub. Sůl by měla být alespoň stejně dlouhá jako je výstup hashovací funkce, takže pro SHA-1 160 bitů neboli 20 znaků nebo více. V databázi pak ukládáma hash(salt+password), salt pro každého usera. Tohle se dá ale stále lámat slovníkovým útokem a burte forcem, dnes se používá i výhod GPU při testování všech možností. Právě proto se má správně použít key stretching, ale ona primitviní metoda ne - musí se použít PBKDF2 nebo brcypt, a důvodem je aby to měl hacker při slovníkovém/brute force útoku složitější. Pravdou je že málokdo to dneska takto implementuje, oni často ani nesolí, natož aby implementovali nějaké standardy...