Ha sha1 (md5 ($_POST['Password']) ) -al adom át az adatbázisnak a jelszót azt hogyan lehet az eredetire vissza konvertálni?

Sehogy.

Két stratégiát szoktak alkalmazni, ami valójában egy:

a.) generálsz egy ideiglenes jelszót, elküldöd neki. Ha nagyobb biztonságot akarsz, akkor kikényszeríted, hogy első belépésnél ezt változtassa meg

b.) generálsz egy nagyon random karaktersort egy hasító függvénnyel, ezt linkbe ágyazva elküldöd a felhasználó e-mail címére, ami cím egy olyan oldalra mutat, hogy a jelszót tudja beállítani magának.

Mindkét megoldást célszerű kiegészíteni azzal, hogy csak korlátozott ideig éljen a lehetőség a módosításra (1-2 nap).

Kiegészítés: a sha1(md5(...)) eljárás ahelyett, hogy erősíteni a titkosítást (amiért gondolom így írtad) pont, hogy gyengíti. Használj legalább sha256-ot és esetleg sózást, de ne fűzz össze hasítófüggvényeket!

Hatásos módszer ha minden létező szám-írásjel-betű kombinációt megpróbálsz md5-be hash -elni, és amikor a kapott eredmény megegyezik a POST -ban lévővel, akkor megtaláltad amit kerestél.

Azért hozzátenném hogy ezzel csak akkor próbálkozz, ha előreláthatóan még legalább néhányezer évig ráér a dolog.

Nem lehet, de nincs is rá szükség.

Ha elfelejti a jelszavát, akkor egy email megerősítés után a rendszer generáljon neki újat, vagy állíthassa be újra.

Az ellenőrzés rendszerint úgy szokott történni, hogy a megadott jelszót ugyanúgy hash-eljük (sha1+m5), és ha egyezik az adatbázisban lévővel, akkor érvényes.