Lo que se hace en el caso de información sensible como la contraseña, es encriptarla con un sistema que no sea desencriptable, por ejemplo crypt() http://www.functions-online.com/crypt.html, lo que haces es encriptar la pass una vez que la envian (en el registro de usuarios) y después cuando quieren loguear le pasas un crypt() al POST y los comparas.