Moin,
Bei komplexeren Systemen finde ich eine Datenbank-basierte Benutzerverwaltung grundsätzlich immer besser. Bei einfachen Systemen mag man mit Passwortdateien noch hinkommen, wenn man aber komplexere Rechtestrukturen hat (und Objekte/Entittäten, die einzelnen Benutzern "gehören", oder auf denen bestimmte Operationen nur bestimmten Benutzern/Benutzer-Gruppen erlaubt ist), wird das mit Dateien sehr schnell ziemliches Gepopel.

Ausserdem muss man vieles, was Datenbanken mitbringen, bei Flatfiles selbst "nachbauen" (ACID, parallele Zugriffe, effiziente Speichernutzung usw.)

=> Sofern Du nicht eine sehr einfache Anwendung hast, die mit einer .htaccess/.htpasswd-Datei und einer Handvoll Usern auskommt, würde ich immer eine Datenbank vorziehen.

Wie bereits geschrieben, MD5 wurde lange für Passwortverschlüsselung genutzt, gilt aber inzwischen als nicht mehr kollisionsfrei und sollte zur Verschlüsselung daher nicht mehr genutzt werden. Meines Wissens ist aktuell z.b. SHA2 oder crypt (Unix-Systemcall) eine gute Wahl (lasse mich aber gerne eines besseren beleeren, bin auch nicht mehr ganz auf dem neuesten Stand).
Falls Du z.b. MySQL für die Verwaltung der Benutzer nutzt, kannst Du auf zahlreiche in MySQL-eingebaute Verschlüsselungs-Methoden zurückgreifen, ich schätze Oracle/Postgres bieten ähnliche Features an.

Hope that helps.

Viele Grüße,
Jörg