in rapporto al tipo di dati trattati mi sembra anke ke per la privacy la password dovrebbe essere conosciuta solo dall'utente e quindi nel db 'dovrebbe' rimanere solo la codifica in MD5. ci vuole un sistema ke assegna una password ke rimane in kiaro nel db e si invita l'utente a sostituirla con una personale, magari con una domanda per ricordarsela. naturalmente la password originale viene conservata e quella nuova ke sarà utilizzata x il login è codificata. in caso di smarrimento o dimenticanza si può inviare in automatico la password originale tramite email e l'utente potrà impostare di nuovo una nuova e personale.