rolygc: md5 es hash, los llamados desencriptadores en realidad lo que tienen son tablas que hace tiempo se les llamaba tablas rainbow, que son una enorme colección de palabras de diccionario pasadas por md5, cuando tu das un md5, buscan su inverso en esa tabla.

Mucha gente dice que el md5 no es seguro, que sha1 es más seguro. Pero hay que entender una cosa: si alguien puede acceder a tu base de datos lo suficiente como para extraer la información esté en md5, sha1 o lo que sea, tu seguridad falló mucho antes.

La única ventaja que le veo a sha1 en temas de login es que te daría una colisión una entre muchos trillones, por lo que sería más eficaz ante un ataque por fuerza bruta, sin embargo, si vas a permitir que un usuario ponga más de 10 claves distintas sin bloquearlo, algo estarás haciendo mal.