Se sono servizi offerti dal topo gigio di turno, è possibile che siano in chiaro.
Altrimenti possono inventarsi un qualsiasi metodo di cript reversibile. str_rot13 è il più ridicolo, base64_encode o una combinazione di questi. Possono lavorare anche su singolo byte manualmente, o inventarsi una sostituzione (q=1,w=2,e=t ecc.). Ovviamente tutti questi metodi non sono sicuri se hai dei dipendenti che gestiscono le password dei tuoi clienti (pensa a un Ebay o un servizio bancario). Se utilizzi un qualsiasi algoritmo "conosciuto", è altrettanto conosciuto l'algoritmo per decriptarlo... ed è quindi questione di un attimo.

E' più probabile quindi che sia un algoritmo del tutto inventato i cui passaggi sono gelosamente custoditi.

Ti conviene usare l'md5 con "sale".
http://forum.html.it/forum/showthread/t-1334861.html

Per il recupera password non ti conviene assolutamente impostare una nuova password, piuttosto affidati a un campo nuovo della tabella, chiamato "codice_recupero_password"... e fai le operazioni da li'.

Perché se io sono A uso il sistema di recupero password dicendo, falsamente, che sono B, B si ritroverà la password cambiata a sua insaputa. =)