Намедни статью переводную опубликовали. Как раз про использование соли.
Если у вас паранойя, то соль лучше не хранить, а высчитывать на основе относительно доступных данных. Возьмите, к примеру артикул первой покупки пользователя, допишите сумму товара, добавьте общую константную соль и заверните это всё в MD5. Если покупок не было, то первый просмотенный товар (думайте сами). Если у вас данные по деньгам хранятся в другой БД получится достаточно стойко.
Можно генерить соль и новый хеш на основе последней записи в микроблоге или логине прикреплённого менеджера. фантазируйте.
Главное, ограничить возможность доступа к этим данным злоумышленника при частичной компроментации системы. К примеру у него естьтаблица с логинами и хешем, есть доступ к контенту сайта, но не получилось получить БД билинга. Или нет доступа к файловой системе, а вы завязались на параметры аватары. Уже будет сложнее.
