Non puoi decodificarla,
perchè la tieni non codificata nel db? Non è che sia sicuro, comunque basta che fai
md5($row['password']) e verifichi se è uguale