Ezt sosem tudtam belátni, hogy miért jó. Ha a hash-t hasonlítod össze a DB-ben tárolttal, akkor valóban nem látod a plaintext jelszót, de legalább van egy fix hosszúságú másik jelszavad, amit ugyanúgy lehet küldözgetni a szervernek.
Persze lehet én nem látok valamit. Nem lennék meglepődve. :)