Hola aviweb2015,
Eso es porque la comparación la estás haciendo directamente sin encriptar la contraseña que recibes del formulario antes de esto.
Código PHP:
Ver original$sql->bindParam(':password', hash('sha256', $_POST['password']));
Creo que sería algo así...