Развивая тему могу добавить, что md5(md5("ALKSJD^^asdasd" . md5($pass)) - это ещё не предел... Ну например админ может проболтаться, чт там у них за строка.
Вот если
md5(md5($случайнаястрокаиз9сим влов) . md5($pass)) - тут уже мона спокойно склеивать ласты. т.е. в mysql для каждого юзера прописывается ещё и случайно сгенерировая строчка из 9 символов.
ЗЫ: 9 символов - это ещё не предел.