Moin,

• hash_mac(Whirlpool, str_pad(passwort, E-Mail über sha1()) und einem zufälligen Salt aus 25 Zeichen)

* Warum sha1?
 * Wie _zufällig_ ist der Salt (also woher kommen die 25 Zeichen (oder Bytes?)?)

• und einem Salt für Blowfisch erzeugt aus substr(22 Zeichen) der aus einem geschuffelten String, bestehend aus crypt (email, passwort und Rundenanzahl), herausgelöst ist

Verarbeitet Blowfish nicht mehr als 22 Zeichen Salt oder warum sind es genau so viele? Und warum ist hier kein Zufall im Salt enthalten? (crypt verwended email als Salt um passwort zu hashen, korrekt? Beide Angaben kämen dann von außen.)

Ich hoffe das sind genug Infos zur Einschätzung. Wie sicher ist Blowfish allgemein?

Der Entwickler Bruce Schneier rät vom Einsatz ab. Aber das kommt wohl auch auf den Einsatzzweck ab, sprich wie viel Sicherheit du tatsächlich brauchst.

Viele Grüße,
Robert