Indem du jedes Mal ein anderes Salt verwendest. Das Salt speicherst du zusammen mit dem Passwort in der Datenbank und kannst es somit vor dem Entschlüsseln wieder lesen. Natürlich können dann im Worst Case auch die bösen Jungs das Salt mit auslesen, aber das ist nur begrenzt schlimm, weil es ja vor allem darum geht, es zu erschweren, den Hash zu erraten mit Rainbow-Tabellen und ähnlichem.

Zusätzlich zum Salt kannst du auch noch eine Priese Pepper packen. Das wäre dann eine "geheime" Ergänzung zun Schlüssel, der eben nicht in der Datenbank landet und somit auch jedes Mal gleich ist, aber es somit weiter erschwert, ein Passwort zu erraten.

Siehe auch hier.

All dies ist mir im Prinzip klar. Wie gesagt, ich hatte ursprüngliche eine andere Vorstellung von Salt, die ich nun korrigiert habe.

Aber:

Textverschlüsselung mit Lockbox erzeugt jedesmal ein anderes Ergebnis (bei gleichem Inhalt und gleichem Passwort) ohne dass etwas irgendwo hinterlegt werden muss. Wie funktioniert dies in Lockbox und wie realisiere ich das allenfalls in DEC

Edit:
Scheinbar suche ich Nonce
https://de.wikipedia.org/wiki/Salt_(Kryptologie)

Die Speichern das Salz mit im Ergebnis-Stream, am Anfang, vor den eigentlichen verschlüsselten Daten.
Man kann es einzeln speichern, oder eben mit einfügen (was man hier auch machen könnte).

In einem Datenbank-Feld (VARCHAR) hatte ich es so gelöst.
z.B. "algo:salt:data......" oder "salt:data......" als Base64 oder Hex.

Inklusive "Algorithmus/Modus", damit man neue Daten in einem "neueren/besseren" Modus speichern kann, ohne die alten Daten ändern zu müssen.
(bei Verschlüsselung kann man es entschlüsseln und neu verschlüsseln, aber bei einem HASH kann man die alten Daten ja nicht automatisch ändern und muß dann wissen was was ist)