Fai un hash della password in javascript lato client prima del submit e poi hash lato server
la password Vera del cliente non la saprai e non salverai neanche l’hash generato da JavaScript