Az a gond vele hogy ezek nem hash-t kérnek hanem plain text jelszót - az egy nagyon jó kérdés hogy miért van szükségük plain text jelszóra egy lookup-hoz.
Amikor a usered megadja a jelszót, akkor ezt neked még kliens oldalon illik hashé változtatnod, onnantól pedig nem fogod tudni lookup-olni.
A másik probléma hogy a usert tájékoztatnod kell arról hogy az általa megadott jelszót elküldöd valahova, ami csinál vele valamit.