Хеширование стойкой функцией: password_hash (bcrypt/argon2), не MD5/SHA без соли. password_verify для проверки. Соль автоматически в PASSWORD_DEFAULT. Высокий cost для bcrypt.