hi,

nun, speichert man das Password nicht, dann kann man aber im Nachhinein die Qualitaet der gespeicherten Passwoerter nicht ueberpruefen. Und das ist schlecht. Es scheint mir so zu sein, dass es keine ideale Loesung (diese waere: kein zus. Angriffspotential, aber dennoch die Moeglichkeit "ex post" die Password-Qualitaet zu ueberpruefen) gibt?!

dann schalte diese überprüfung doch in regelmässigen/zufälligen intervallen beim _einloggen_ zwischen.

der user tippt sein passwort ein, es wird per formular an dich übermittelt - noch hast du es im klartext vorliegen (*).
jetzt kannst du deine überprüfungsroutine darauf ansetzen, und dem nutzer ggf. hinweise geben, dass sein passwort nicht mehr den _aktuellen_ anforderungen deinerseits entspricht, und er es bitte ändern möchte.
ist alles OK, bildest du nach wie vor einfach den hash, und vergleichst in mit dem in der Db abgelegten.

(*) im klartext im kontext deines scriptes. wenn wir schon solchen aufwand betreiben, sollten wir es natürlich nicht auch noch im klartext durchs www schicken, also ist HTTPS empfehlenswert.

gruß,
wahsaga