Hola,
En mi experiencia las contraseñas no se guardan nunca en claro, ni siquiera se cifran, puesto que podrían "descrifrarse". Lo que se hace es guardar un "hash", una "firma" de la contraseña, como pueda ser
SHA1 ó MD5. De este modo, tú guardas la "firma" (que es una cadena de caracteres) de una determinada contraseña, y, lógicamente, para comprobar si una contraseña es correcta, obtienes su "firma", que es lo que comparas con la "firma" guardada previamente en la base de datos. No sé si te habré aclarado algo o qué.
