Ответ очевиден - перед хэширование мы создаем случайную строку определенной длинны, соль, и присоединяем ее к паролю. Этим мы убиваем сразу двух зайцев - взломщику не будут видны одинаковые пароли и мы улучшим стойкость к перебору за счет увеличения длинны. Естественно, соль придется хранить в базе, однако это самое меньшее зло, несколько лишних символов в базе проблемы не решат.
Не понимаю суть. Если угадают через форму, совет не сыграет роли. Это действительно может помочь, если базу нелегально сольют?