Du könntest statt md5() sha1() nehmen. Es gibt nämlich Leute, die kurz davorstehen, MD5-Hashs wieder entschlüsseln zu können.
Mit einigen Proxys kann man auch die IP verändern, weshalb du beim Seitenwechsel vielleicht auch nochmal das Passwort überprüfen könntest.