Nil (./2012) :
Pas besoin d'avoir un historique, pour le premier point ; une table de hash des anciens mots de passe suffit (mais pas de sel, en effet).

Pourquoi pas de sel ?


Au moment de la saisie du nouveau mot de passe, tu le compares aux anciens mots de passe dont tu connais le sel (tu le connais forcément), il n'y a aucun souci à ce niveau-là.