Гм. Я зазвичай зберігаю їх в конфігах сайту.

Теж варіант. Але це зручно лише для однокористувацьких систем. Сам в конфігах зберігаю аутентифікаційні дані, якщо система лише з одним акаунтом (адмінським).

А коли система багатокористувацька, то зручно використовувати БД. Де і зберігаються логіни і паролі (або їх хеші, разом з salt, якщо вона використовується). В такому випадку всі дані беруться з БД через SQL Injection. А у випадку паролю або хешу (разом з salt) в конфігах, то використовуються інші дірки , зокрема Directory Traversal.

Це лише такий цікавий приклад використання Гугла (поки що не дуже практичний). Для пошуку md5 хешів варто використовувати спеціальні пошуковці.

Тому, при брутфорсі хеша потрібен буде також і salt. Який теж береться з БД разом з хешем (через дірки) . Тому в плані брутфорса там особливих проблем немає (використай отриманий salt і підбери вірний пароль під цей хеш) - часові вимоги ті ж самі, що й при звичайному хешуванні (використання salt майже не зменшує швидкодії). Головне не забути про salt - тобто при отриманні хешу (через дірки на сайті), потрібно вияснити, чи немає там ще salt (як у відомому тобі движку, так і у невідомому), бо інакше не вийде взломати хеш. Тому, як кажуть сіль за смаком .