Есть 2 пути защиты хэша:
1. использовать в добавок к паролю динамичную инфу, но эту инфу надо всёравно надо где-то хранить
2. хранить скрипт хэширования на не взламываемом отдельном сервере

Остальные способы лишь затрудняют разхэширование