Chọn tiêu giống như cách bạn chọn khóa mật mã: sử dụng CSPRNG của hệ điều hành của bạn để tạo tiêu 16-32 byte (128-256 bit).
Nếu hệ thống của bạn có Mô-đun bảo mật phần cứng (HSM) hoặc vùng an toàn, bạn có thể lưu trữ một tiêu duy nhất cho tất cả người dùng ở đó. Nếu không, bạn phải sử dụng một tệp thông thường, vì vậy hãy đặt quyền truy cập một cách thích hợp.
Có thể có một hạt tiêu cho mỗi người dùng trong một số trường hợp. Vì vậy, bạn thường không thể sử dụng HSM hoặc vùng an toàn vì bạn sẽ có quá nhiều mục nhập cho nó và cũng phải lưu trữ xem người dùng nào đi với hạt tiêu nào. Vì vậy, nó có thể khiến mọi thứ kém an toàn hơn thay vì an toàn hơn.
Theo định nghĩa, muối không phải là bí mật. Lưu trữ muối trong cùng một cơ sở dữ liệu với tên người dùng và mật khẩu băm.Đối với tất cả các chức năng băm mật khẩu an toàn hiện tại, muối là một phần đầu ra của thuật toán băm mật khẩu và do đó không cần một cột cơ sở dữ liệu riêng.
Dù bạn làm gì, hãy đảm bảo rằng bạn có cách sao lưu và khôi phục (các) hạt tiêu. Rốt cuộc, nó sẽ không được sao lưu bởi các bản sao lưu cơ sở dữ liệu của bạn! Nếu nó bị mất, người dùng của bạn không thể đăng nhập. Hãy nhớ rằng bảo mật là sự kết hợp của tính bảo mật, tính toàn vẹn và tính khả dụng, vì vậy đừng để tiêu trở thành một điểm thất bại duy nhất.