La mia raccomandazione su questo è di proteggere la password nello stesso modo in cui lo faresti dopo che la registrazione è stata completata.
Per gli utenti registrati, dovresti memorizzare solo una versione salata e con hash della password. Per gli utenti che utilizzano il flusso di registrazione, dovresti fare lo stesso. In un tipico flusso di registrazione, all'utente viene richiesto di scegliere una password e di digitarla due volte. Non appena avrai verificato che entrambe le password digitate sono identiche, puoi calcolare un hash salato della password.
L'hash salato della password può essere memorizzato nella sessione per il resto del flusso di registrazione.