Le salt (par password) ne sert pas juste contres les attaques de type Rainbow Table: il sert aussi à empêcher un attaquant qui a déchiffré une entrée de ta base de déchiffrer les passwords identiques à celui la.

Tu peux imaginer des attaques rigolotes ou un attaquant qui aurait accès à ta base, conscient de la faiblesse de ton algo de génération de salt, arrive à te forcer à utiliser le salt qu’il veut (par exemple, si ton random dépend juste du temps) et donc arrive à te faire pré-générer des hash en utilisant *ta* puissance CPU.

En fait, en partant de cette hypothèse que le salt n’a besoin que d’être moyennement aléatoire, tu es en train de tomber dans le même travers que tu dénonces (désolé pour la formule choc): intuitivement, ça n’a pas l’air grave, mais en fait, ça l’est :)

Les « bonnes » lib gérant ce genre de problématiques ne laissent pas le développeur gérer le salt lui-même.