Ни sha1 ни md5 от брутфорса не защищают, ибо имеют низкую вычислительную сложность, да и вообще они старые и уязвимые как говно мамонта. Такие хэши нужны для того, чтобы человек, скомпроментировавший базу данных пользователей потратил энное количество времени для нахождения паролей по хэшам (используя радужные таблицы к примеру). Поэтому йуные погромисты используют всякие соли (которые к тому же и готовят неправильно) чтоб усложнить жизнь йуным кулхацкирам.
Для защиты от брутфорса нужны хэши, имеющие бОльшую вычислительную сложность, например Blowfish.
Если выбор между md5 и sha1, то однозначно sha1, но все равно это практически эскобар, ибо они оба сломаны и годятся только как замена crc32.