Nem tudom miért nem érted még mindig, hogy nem kell letárolni cleartextben semmit. De be kell kérni (és kb mindenhol be is kérik) a jelenlegi jelszót, ahhoz lehet realtime hasonlitani az új jelszót, hogy megfelel-e a követleményeknek. Ha igen, akkor lehet hashelni és azt letárolni, ha nem akkor vissza van utasitva.
Szerintem itt valami félreértés van a session tárolás kapcsán. Az nem tárolás, user belép, rámegy a jelszómódositó funkcióra, beadja a régi és új jelszavát, régit lehasheled, ellenörződ, hogy jó régit adott-e meg, ha igen új jelszót összehasonlitod a régivel, hiszen ott van mindkettő a memóriában cleartext-ként, lefuttatod az ellenőrzéseket és letárolod, ha megfelel, stringeket eldobod. (ill. eleve secure stringként tárolod memóriában is)
Nincs letárolva semmi.