Използвайте hash_hmac
Използвам го така:hash_hmac($algo, $password.$salt, $siteKey);
Дори ако нападател влезе във вашата база данни, той ще се нуждае от вашия ключ на сайта, за да извърши успешна груба сила, въпреки че няма да коментирам сблъсъците. Изберете своя алго/отрова. :D