Yo uso sha1(), pero no hay diferencia encriptar solo sirve para que el admin no lea las contraseñas. Y para que nadie mas obtenga el codigo encriptado, hay que proteger el script contra inyecciones.
Luego para hacer esa opcion de recuperar la contraseña, primero el usuario tiene que pedir una nueva contraseña, al hacerlo generas una contraseña aleatoria, la encriptas con crypt() o con sha1() eso depende de ti, lo guardas en el database y envias la contraseña a su email.
Saludos