Меня,в первую очередь, интересует случай если сперли бекап базы.

Md5 нельзя использовать, т.к. он быстро и легко брутфорсится. SHA-1 не далеко от него ушел, так?
Что тогда использовать? SHA-256, 512?

Есть еще какие-то bcrypt, PBKDF2, чем они хороши?

И какая длина пароля сейчас считается минимально достаточной?