Klart det gör - personen i fråga måste isf bruteforca på en salt som är kanske 100 tecken + användarens lösenord.
Vi säger då att salten är A-Z, a-z, 0-9, och specialtecken, samt 100 tecken långt samt att du då bakar in användaren lösenord i denna hash.
Om inte angriparen vet salten och hur din algoritm ser ut, så måste personen även bruteforca salten -- eller hur?

Isåfall måste han gjort något helt fel, ett vanlig 4 teckens lösenord i sha256 knäcks snabbare än du hinner blinka.

Med sha256 + minst 8 tecken lösenord + salt så har man en väldigt bra grund.

Jag vet att en md5 hash tar några sekunder att knäcka vid ett sådant svagt lösenord (har själv provat). SHa256 är ju en jämförelsevis ganska strong hash, har du provat, eller utgår du från att det är samma sak? No pun intended, bara nyfiken.

Kan han med bruteforce mena att han kör via (web)applikationens inloggningsgränssnitt... då kan det säkert ta 1-4sekunder per fråga?

Mmm om man har ett ord som "test" som password så kan man via en dictionaryattack hitta lösenordet oavsett om det är MD5 eller SHA512 + salt + senap + ketchup....om man gör intrångsförsöket via samma interface som saltar vill säga (inloggningssidan i din webapp)

Står ju inte att lösenordet var "test", han skriver ju endast att det var ett lätt lösenord.
På bilden ser man ju att lösenordet "test" har "knäckts" under 9 minuter.
Detta är med snubbens egna program, vilket förklarar en del :D

Vilken algoritm man använder spelar ju mindre roll vid en brute-force attack.