opcion

a)cuando deseen recuperar la contraseña generar una aleatoriamente que se envie al correo
b) usar mcrypt los datos estaran encriptados pero sera reversible ;) asi te roben la DB el que la robe encesitara saber la llave con la cual sencriptan para poder desencriptarlos