Lehet nem jól értelmezem, de akkor így az adatbázisban nem voltak salt-al ellátva a jelszavak, nem? (azt nem tudhatta a kliens, vagyis nem tehette bele a kulcsba, viszont a szerver meg nem tudta a salt nélküli hasht kulcsként használni, mert az meg azt nem tudta) Így viszont ha kikerülnek a jelszó hash-ek, akkor még szivárványtábla / brute force sem kell, mivel elég a hash az authentikációhoz.
BlackY