Buenas!

El tema de la seguridad (a mi entender) es uno de los temas de los que más discusión puede haber...

Lo que comentas del md5 es imprescindible (me refiero al hecho de guardar contraseñas guardadas de manera cifrada).

Yo actualmente trabajo en un proyecto desde hace varios meses. En éste uso PHP para la parte de web, y en cuanto a seguridad se refiere, y hablando de contraseñas (quizás uno de los elementos más importantes de un user) lo que hago es:

Por una parte tengo la contraseña del usuario guardada de manera críptica (md5, sha1, sha256...)

A la hora de recuperar los datos, si son correctos, los guardo en sesión (usando $_SESSION), pero no de manera plana. Usando un algoritmo codifico esos valores para que queden completamente ilegibles. Este algoritmo es de "ida y vuelta", es decir, se puede deshacer. Pero el valor más cercano que se puede conseguir es un cifrado del original.

El tema de los certificados, no estoy muy al día (estoy en proceso, jeje). Pero tengo entendido que usando https (osea, Secured http) el envío de datos se hace de manera cifrada, por lo que un tercer usuario no podría "comprender" los datos que estás enviando.

Usar un certificado para una página de login es una muy buena práctica. Digo solo la página de login porque el HTTPS ralentiza un poco la velocidad de la web.

Espero poder haberte ayudado en algo.

Saludos