Die Antwort (laut diesem Beitrag) ist die Angabe von hashAlgorithmType="SHA1" in der Web.config:
<membership defaultProvider="OracleMembershipProvider" hashAlgorithmType="SHA1"/>
Dies hat das Problem für bestehende Benutzer nicht gelöst, aber neu erstellte Benutzer können sich jetzt anmelden.
