Aber wenn ich das Passwort weiter in der DB lassen möchte

Warum um alles in der Welt ist es so wichtig, das Passwort im Klartext zu speichern? Niemand, wirklich niemand braucht sowas. Hat jemand sein Passwort vergessen, dann ist es vollkommen egal, ob du ihm das alte schickst oder ein neues. Vergessen hat er das alte sowieso und falls es ihm später wieder einfällt und er so verliebt ist, kann er mit dem neuen sein altes wunderbar wiederherstellen.

Überhaupt: Passwörter verschickt man generell nicht. Niemals. Falls etwas vergessen wurde, dann einen einmaligen, fünf Minuten gültigen Zugangscode an die hinterlegte E-Mail-Adresse, mit dem der Benutzer ein neues Passwort eingeben kann (bzw. muss).

Genau genommen gehen dich die Passwörter der Benutzer gar nichts an und entsprechend solltest du sie behandeln.

Ich bin etwas irritiert, dass du die Frage mit "Sicherheit" eröffnest, aber die grundlegendsten, in langen (leidvollen) Jahren erlernte, bewährte Regeln ignorierst.

Die schlimmere Schwachstelle ist die Datenbank. Dort könnte ja im Schadensfall nicht ein einziges Passwort, sondern 500 Millionen (-> Yahoo) abgegriffen werden.

Bevor jetzt der Hinweis "Sind ja nur meine drei Kunden" kommt: Ein Großteil benutzt überwiegend dasselbe Passwort für viele Dienste. Das Problem auch bei der Yahoo-Nummer ist gar nicht einmal der Umfang, sondern dass mit diesen Daten etliche andere Dienste angegriffen werden können.