Der Angreifer mag vielleicht über technisches Know-How verfügen, aber hellsehen kann er nicht. Er kann doch niemals wissen, dass ich den md5 nochmals manipuliert habe.

Selbst wenn er nicht deinen Code hat, was wie gesagt unwahrscheinlich ist:
Darauf kommt er doch innerhalb kürzester Zeit. Er sucht nach dem Hash in Rainbow-Tables und findet nur Einträge, die nicht nach üblichen Passworten aussehen. Also schließt er, dass eine Verschleierung oder eine synchrone Verschlüsselung aktiv sein muss, weil er in deiner Datenbank auch keine Salts findet.

Dann ist es nur noch eine Frage der Zeit. Er probiert die einfachsten Verschleierungen durch. Vielleicht ist die Spiegelung einer der Verschleierungen, die er ausprobiert.

Mathias