jchernandez, yo creo que el punto que lotusxxl está exponiendo es que realmente cuando tu guardas un dato encriptado no importa que alguien lo vea pues kien tiene la llave es la lógica del sistema.. En todo caso la seguridad radica en que el unico que sabe su password es el usuario.
Por otro lado, y en apoyo a lo que lotus te comenta , en un buen esquema de seguridad un password no se recupera, sino que se le genera uno nuevo temporal que definitivamente deberá viajar en texto plano.. pues no hay otro método, aunque puedes implementar un algoritmo que te genré un password automático con varios caracteres mayúsculas y minúsculas y se lo envias al usuario. Esta clave le permite activar su login y cambiar nuevamente su password ya dentro del sistema, y a este nuevo password lo vuelves a guardar encriptado y listo ! .

En cuanto a la idea de encriptar JavaScript, personalmente, no la considero acertada ni confiable y si a esas vamos, es peor en el aspecto a que si no tienes cuidado un atacante puede tener acceso al mecanismo de encriptación. Y nuevamente te señalo a que si el cliente lo desea puede desactivar los scripts de java y con eso adiós al esquema.
Y si a esas fueramos, a la de usar en el cliente parte del esquema de seguridad preferiria cookies encriptadas.
Sin embargo repito que lo que requieres es armar un esquema y si te preocupa tanto ke alguien cache los datos antes de ke se encripten, creo ke Apache con SSL sería la mejor alternativa, obviamente te tendrías que documentar un poco al respecto.

En caso de que lo encuentres muy complejo, pues vuelvo a recomendar mcrypt, date una vuelta verás que son más completas que md5, pues tu también generas la llave . Y creo que convienen más ke md5, difiriendo con lotus, aunque pues todo radica en que tan segura quieres que sea o deba ser la aplicación.

Espero haber colaborado en el tema.

Un saludo desde Veracruz, México