Ci sono buoni articoli sulla corretta memorizzazione delle password. Uno di questi, ad esempio:Memorizzazione delle password - fatto bene!
Dovresti usare sale diverso per ogni utente, ma non è necessario conservare i sali separatamente. Vedi una discussione simile in un altro thread
A proposito, probabilmente non dovresti usare sha1 ma ad es. sha256 o sha512 qualcosa di più forte invece (almeno per evitare cattiva pubblicità). C'è una buona risposta al riguardo:Quanto è insicuro uno SHA1 salato rispetto a uno SHA512 salato