Creo que entiendo tu pregunta....

El problema es que si tienes las contraseñas en un js este se puede descargar y ver su contenido... Si codificas en md5 el problema se acaba... o no, porque si codificas el código, el navegador no lo decodifica y por lo tanto no lo interpreta. Recuerda que md5 solo encripta, no existe función inversa.

Para comprobar si la contraseña es la misma, se compara encriptando la supuesta contraseña que envia el usuario desde el formulario de acceso con la contraseña almacenada en otro archivo o base de datos (que ya estaba encriptada claro). Si son iguales es correcto y accede. De este modo si un usuario logra hacerse con las contaseñas encriptadas, no puede hacer nada mas que ir provando suerte...

Quizás me equivoque pero creo que solo se puede codificar con md5 desde php, que es el sistema que simepre he usado por el momento. Mi consejo es que guardes las contraseñas en un archivo, el cual solo puedas acceder desde una llamada en php, luego si guardas el contenido encriptado está mejor protegido. Te faltaría definir si te interesa guardarlo en un archivo de txt o en una base de datos como podría ser mysql... pero esto sería en otro foro claro.

Espero haber sido de ayuda.