Ich würde die Daten selbst nicht mit einem, durch den User bestimmbaren, Passwort verschlüsseln. Vergisst der User das Passwort , dann sind alle Daten unwiderruflich verloren.

Nur die Passwörter sollten One-Way-Kodiert (MD5, Hash, ...) hinterlegt werden. Um die eigentlichen Daten zu schützen, dürfte ein Paradox (IB, Access, ...) Datenbank mit Standardverschlüsselung und einem, durch den Administrator einstellbares Passwort, reichen.

......