Ist doch ganz einfach: Du hast es doch gerade eingegeben! Kurz bevor die Meldung erscheint wurde doch eine Anmeldung durchgeführt. D.h. "im RAM" ist das Kennwort. Dann wirst Du gezwungen ein neues einzugeben.
Das neue wir nur gegen eine Liste von Hashes der letzten 5 Kennwort verglichen. Die Abweichung mit den 4 Stellen nur gegen das aktuelle Kennwort (welches Du ja gerade eingegeben hast).
Dazu muss nichts gespeichert werden. Die Passwörter werden nie im Klartext hinterlegt. Dann fliegt der 5. Hash raus und Dein neues PW ist der neue aktuelle Hash.
Alles knorke ;)