Valóban, nem volt sózva a DB-ben a jelszóhash (de implementálható lett volna). A userek alapadatait tartalmazó tábla védettségéről másképp (is) gondoskodtunk (külön séma, csak alaposan körbejárt tárolt eljárásokon keresztül ment be kérdés és jött ki jo/nem jó válasz, audit dolgok) úgyhogy ez a kockázat vállalható volt - annak fényében pláne, hogy az eredeti megoldásban plain text jelszó, direktbem a táblát matató egybenőtt kód volt...