Плюсую к checklist’у — соль и медленные алгоритмы реально спасают от простых атак. Сам не раз видел, как md5 и sha1 ломают за секунды, потом переделывали на bcrypt, стало спокойнее. Важно не забывать обновлять библиотеки и тестить базу на слабые пароли, иначе вся защита ничего не стоит. Hashcat и John — базовые инструменты, чтобы проверить свои хеши на прочность.