Забудьте про md5 и хэширование чистого пароля!
md5 подвержен коллизиям, а обёрнутый в md5 пароль можно вычислить за пару секунд, используя радужные таблицы.
Вот эта штука рекомендует использовать
PBKDF2 с минимум 10000 итерациями (на 2011 год). Лучше сейчас использовать больше.