Движок хранит пароль в MD5,
При создании пароля он его солит и то ли 5 то ли 8 раз прогоняет через MD5.
Сейчас народ все больше и больше возмущается на тему того, что MD5 уже не Торт. И в какой то мере таки да, и вычислительные мощности уже такие, что Deep Blue смущенно краснеет, и база хэшей тоже не кислая.
Но если юзерь задает пароль типа даты рождения, или имени первой подруги которой присунул или подобные перлы, то тут бессилен любой метод шифрования.
Запрещайте использование небезопасных паролей, добавляйте защиту от брутофорса. И этого хватит за глаза, чай не сайт Федеральной резервной системы строите.
И да, изменить сам алгоритм шифрования малой кровью можно, api это позволяет, но из за особенностей движка это останется тот же MD5 и те же 128 бит
Можно изменить и большой кровью, но вы это точно не осилите, раз вам было тяжело разобраться с достаточно подробно расписанной регистрацией.
