Pues sí, tu mismo te has respondido.
En el algoritmo MD5 (que es usado por moodle para cifrar las contraseñas), se utiliza para cifrar cadenas que luego se validan por comparación, es decir, por ejemplo:
Imagínate la contraseña: casa
Si la ciframo en MD5 obtendríamos algo como : 202447d5d44ce12531f7207cb33b6bf7
Cunado un usuario inserta su contraseña (casa) en moodle, éste cifra esa palabra y la compara con la que tiene almacenada en la base de datos que es: 202447d5d44ce12531f7207cb33b6bf7
Si coinciden es que la contraseña es correcta y entonces lo deja entrar.
Y ahora la siguiente pregunta sería ¿y entonces cualquier palabra que, cifrada en MD5, me diera el número 202447d5d44ce12531f7207cb33b6bf7, sería válida como contraseña?
La respuesta es SÍ, pero el truco está en que encontrar dos palabras que, cifradas en MD5, me den el mismo número tiene una probabilidad muy, pero que muy, pequeña (aunque como ha comentado Iñakii, esto ya se ha resuelto y el MD5 ya no se considera tan seguro, al menos en círculos criptográficos). Para el resto de seres humanos podemos considerar que es bastante seguro.
Para comprobar esto, te dejo una sencilla página dónde podrás hacer pruebas cifrando cadenas en MD5 y comprobar que encontrar dos palabras que te den como resultado el mismo número es, como poco, dificilísimo:
http://kodesoft.net/md5/md5.php
Y ahora, intentaré darte otra posible solución a tu problema, a ver si te sirve:
1.- Exporta los usuarios y contraseñas tal cuál están en la Base de Datos de moodle (o sea, las contraseñas en MD5, a pelo) e importalos a la Nueva Base de Datos:
- Si la Base de Datos va a ser atacada por moodle, no hay problema, seguirá funcionando correctamente.
- Si la Base de Datos, va a ser atacada por otro sistema, implementa el loguin de ese sistema, para que cifre en MD5 los datos del campo password y los compare con los de la Base de Datos.
Con esto te debería bastar para, al menos, tener alguna línea por dónde seguir.
Hasta pronto,
Salu2.
J. Raúl (juagarc4)