Hallo Yeti,

Wie zufällig ist generiert ist gut genug? Reicht PHPs rand()?

Wie schon gesagt. Die pure Zufälligkeit ist IMHO nicht so wichtig.

Wie lang ist lang genug? 281 Billiarden verschiedene Möglichkeiten?

Das halte ich nicht für besonders viel. Ich denke, du kannst locker 16 Byte nehmen mit allen Zeichen von 0-255 (sofern es keine Probleme mit irgendwelchen Steuerzeichen gibt). Das entspricht dann 2^128 verschiedenen Möglichkeiten, was eine Zahl mit 39 Stellen ist.

Sollte das Salt dem Hash ähnlich sehen oder vielleicht eher doch nicht?

IMHO eher unerheblich. Es wäre unsinnig die Zahl der möglichen Salts zu verringern nur um diese besonders ähnlichen/unähnlich gegenüber dem Hash zu machen.

Jonathan