Hi!

Der Username als SALT darf keinesfalls verwendet werden, da er

1. bekannt sein kann (Social Engineering, zugucken bei der Eingabe)
2. beim Login über das Netz gejagt wird und damit ebenfalls wieder bekannt ist.
   Der Salt sollte aber außen unbekannt bleiben.

Sicherlich ist es erstrebenswert, dass nach außen hin alles unbekannt bleibt. Aber genau für den Fall, dass es doch öffentlich wird, ist der Salt erfunden worden. Man kann dann nämlich nicht mehr auf einen Blick anhand gleicher Hashes gleiche Passwörter erkennen, und die Verwendung von Rainbowtables wird auch erschwert. Ein Username als Salt ist im Falle eines Falles genauso bekannt wie ein zufälliger Wert. Es geht nun darum, ob er beim Verwenden von anderen Hilfsmitteln (wie Rainbowtables) "nützlich" ist (weil wegen seines häufigen Vorkommens bereits welche vorberechnet sind) oder nicht (man Brute Force benötigt).

Lo!