Use hash_hmac

Eu uso assim:hash_hmac($algo, $password.$salt, $siteKey);

Mesmo que um invasor entrasse em seu banco de dados, eles precisariam do seu sitekey para usar a força bruta com sucesso, embora eu não comente sobre colisões. Escolha seu algo/veneno. :D