Was haltet ihr davon:

Beim Login wird das Passwort mittels
hash('sha512', hash('sha256',(hash('sha256', $pass . $salt))) . $user);
verschlüsselt und überprüft, der salt ist locker 200 Zeichen gross und besteht aus allen Möglichen zeichen.

(Darf ich da übrigens die zeichen haben: ç,ö,ä,à,è ? Also die ganz exotischen, hab ich jetzt eigentlich ausgelassen.)

Daraus wird mit noch einer Verschlüsselungsrunde ein Key generiert, wieder mit genug Salz. ^^

Der Key landet in der Session.

Die PWs liegen in einer Datenbank mit XTEA (http://de.wikipedia.org/wiki/Extended_Tiny_Encryption_Algorithm) und eben den erstellten Key verschlüsselt.

Eigentlich wär es doch egal, wenn ich dan die PW's direkt in die Session übernehme oder? Wer den Key hat, hat sowieso vollen zugriff.

Eine Idee wir ich das ganze jetzt noch Perfektionieren kann?