Użyj hash_hmac
Używam go tak:hash_hmac($algo, $password.$salt, $siteKey);
Nawet jeśli atakujący dostałby się do Twojej bazy danych, potrzebowałby Twojego klucza witryny, aby skutecznie przeprowadzić brutalną siłę, chociaż nie będę komentował kolizji. Wybierz swój algorytm/truciznę. :D
