und wenn man dann noch Sakura's Salts mit einbezieht, dann kommt man schon auf 'ne nette Variante, die schön viele mögliche unterschiedliche Zustände zuläßt

PasswortHash = md5(vary(variablerSalt . festerSalt . Passwort));

festerSalt ist in 'ner PHP-Datei definiert (zum Ausgleich, der "Unsicherheit" der variablen Salts ... da hier wohl schwerer ranzukommen sein sollte)

variablerSalt wird beim festlegen/ändern des Passwortes für jeden Benutzer neu festgelegt und, weils einfach ist, mit in der DB gespeichert
(damit bei gleichen Paswörtern unterschiedliche Hashs rauskommen)

und bei zu häufiger falscher Passwort eingabe sollte eh etwas geblockt/ausgebremst werden.