АП
Забрутфорсить пароль из MD5(salt, password) в 2020-м году - очень несложная задача. На хорошем GPU достигается скорость в 8-12 миллиардов хэшей MD5 в секунду. Это значит, что пароль в 8 цифробуквенных символов ломается менее чем за несколько часов. Если речь идёт о целевой атаке, а не переборе всех пользователей, то можно считать, что MD5(salt, password) это тоже самое, что и плейнтекст.
Я чуток о другом. Если система не защищена от радуги, то чем больше проверяемых паролей, тем больше успешность построения таблицы. Если задача "найти хотя бы один пароль пользователя" - то вообще объем утечки начинает играть колоссальную техническую роль