Я уверен, что во всем этом есть что-то фундаментальное, что упрощает всю концепцию, которую я упускаю, но вот:
Хорошо, вы солите и хэшируете пароли для безопасности, но как насчет кода, который это делает?
Если вы находитесь на хосте или vps, не может ли «кто-то» получить ваш исходный код, потому что вы скомпилировали его там? Или, если они могут получить доступ к вашей базе данных, не могут ли они получить доступ к программе, которая выполняет шифрование/дешифрование и перебором, пока они не получат алгоритм?
Я знаю, что ничто никогда не может быть защищено на 100%, но как можно улучшить безопасность в этом контексте?