@Andreas13: Danke, das sieht sehr interessant aus! Ist es von der Sicherheit her aber nicht dasselbe, wenn ich zwei Zeichenfolgen hart codiere und aus diesen dann einen einzelnen Hash erzeuge, der dann als PW genutzt wird? Oder liegt der Clou darin, dass der Angreifer nicht rausfinden kann, wie verschlüsselt wurde?

@generic: Nein, der Client wird auf irgend einem Rechner in einem unbekannten Netzwerk mit Internetzugang ausgeführt, der Server steht bei uns. Mit dem Client schreibt/liest der Benutzer Daten in/aus einer MySQL-Datenbank auf dem Server. Lokal beim Benutzer darf/kann nichts gespeichert werden.