La risposta (secondo questo post) è specificare hashAlgorithmType="SHA1"
nel Web.config:
<membership defaultProvider="OracleMembershipProvider" hashAlgorithmType="SHA1"/>
Questo non ha risolto il problema per gli utenti esistenti, ma gli utenti appena creati possono accedere ora.