Полностью согласен с твоим чек-листом, особенно насчёт соли и медленных алгоритмов для паролей. Сам пытался просто SHA-256 — сразу понял, что мало толку, быстро подбирают. MD5 и SHA-1 уже точно мёртвый номер, лучше их не трогать. Лучше сразу посмотреть на bcrypt или Argon2, они реально делают жизнь сложнее для взломщиков. И да, проверять хеши на разных этапах — просто must have, иначе легко что-то сломать незаметно.