но если известен алгоритм, то значит возможна и атака по словарю.
так что по-настоящему небрутабельным может быть только неизвестный алгоритм.

пример с фиксированной солью тут вполне подходит.
пока у злоумышленника нет доступа к сурсам - алгоритм полностью неуязвим.
ну а как получит доступ и к ним - выйдет обычный md5 с фиксированной солью.


upd.
что же до админского акка - то и обычный md5 с 18-символьным пассом ^a6(^sk9!2&`~*_+:X - уже небрутабелен.
Так что думать нужно в 1 очередь о безопасности хранения заведомо простых паролей, которые, как раз таки и сверх-уязвимы к атаке по словарю.

upd2.
хотя идея с тем, чтобы каждому акку прописать дополнительную - собственую - соль - тоже тру.
так что я склоняюсь, пожалуй, не к md5(pass.const) а к md5(pass.salt.const)
по-моему при неизвестном const - супер. при известном же... просто соль => если сольют базу, то снимется всего 45% аккое, а не 65%, как у md5, которые брутятся одновременно сотнями тысяч.