Si el usuario quiere cambiar su contraseña generas una nueva y se la envias a su email. El despues puede cambiarla a la que quiera. Cuando la quiera cambiar no se la tienes que mostrar. Solo empcripta tambien la que el pasa, ejemplo:
Cambia tu contraseña:
contraseña actual __________
nueva contraseña __________
Código PHP:
if (md5($_POST['contrasena_actual']) == md5($contrasena)) {
//aqui haces el update
}