Use hash_hmac
Eu uso assim:hash_hmac($algo, $password.$salt, $siteKey);
Mesmo que um invasor entrasse em seu banco de dados, eles precisariam do seu sitekey para usar a força bruta com sucesso, embora eu não comente sobre colisões. Escolha seu algo/veneno. :D