А валидации пароля у вас разве нет? Если туда сразу попадет хэш, то любой пароль пройдет валидацию (или наоборот никакой).
Если вы храните пароль в базе в виде хэша, то преобразование следует сделать либо в методе beforeSave(), либо в контроллере после вызова метода validate().
Проблема в аутентификации после регистрации, так как после валидации вместо пароля имеем хеш, приходится использовать не очень красивые конструкции проверки пароля в методе login, т.к. это может быть хеш или пароль.
К сожалению, я не знаю, как у вас всё организовано, поэтому могу посоветовать взглянуть на реализацию в расширении yii-user. Юзер и форма входа там - разные модели.