Hola,
Encriptar siempre, a no ser que haya un motivo muy fuerte para no hacerlo (u no se me ocurre ninguno).
Cita: cómo habría que hacer, pone algo de usar la función md5, pero eso no es para generar un código de validación, algo así como la letra del dni?
Si, hace exactamente eso. Lo que pasa que en lugar de ser un codigo de una letra como el dni, es un codigo de 32 digitos hexadecimales, lo que da un total de 2 elevado a la 128 posibles codigos. Como es un numero finito, varias cadenas pueden dar el mismo codigo, aunque hay pocas posibilidades de que suceda. Asi que si el md5 de la contraseña que mete por el formulario coincide con el valor md5 almacenado para ese registro, casi puedes asegurar que han metido la misma cadena.
Saludos.