Utilisez hash_hmac
Je l'utilise comme ceci :hash_hmac($algo, $password.$salt, $siteKey);
Même si un attaquant pénétrait dans votre base de données, il aurait besoin de votre clé de site pour réussir la force brute, bien que je ne commente pas les collisions. Choisissez votre algo/poison. :D
