Dem stimme ich zu, mit dem Zusatz, dass du nach Möglichkeit einen modifizierten Hash-Algorithmus verwenden solltest, da für Standardverfahren Möglichkeiten bestehen, sehr schnell vom Hash auf das Passwort zu schließen. (siehe z.B. http://www.milw0rm.com/md5/list.php)

Andererseits schützt so ein Hash wirklich nur den Benutzer vor dem Serverbetreiber, oder bei kompromittierten Login-Datenbanken. Daher empfiehlt es sich, wie Thantanos schon gesagt hat, eine Verschlüsselung zu verwenden, wobei die Schlüssel (Zertifikate) unbedingt vor den Transaktionen über ein "sicheres" Medium (z.B PGP/GPG verschlüsselte Mails) verteilt werden müssen.