Как хранить соль пароля?

Используя PHP, я кодирую пароли, используя функцию hmac с алгоритмом sha256. В чем я не уверен, так это в том, как правильно хранить соль.

Весь смысл хеширования пароля заключается в том, что хакер получит доступ к базе данных. Если я храню соль в базе данных в той же строке, что и хешированный пароль, разве это не похоже на то, что я передаю хакеру «секретный код»? Я запираю дверь на замок и вручаю злоумышленнику ключ.

Кто-нибудь может объяснить мне, как они умудряются хранить свою соль?