-Nem egészen, mert egy tokennek általában van lejárata. Jobb esetben mire hozzájutnak, érvénytelen.
-Ez még simán bruteforce-olható.
-???
-Ha az SHA1-et küldözgeted, kb semmi értelme az egésznek. Aki ellopja, nem is kell visszafejtenie a jelszót, elég neki az sha1-es változat, amit ugyan úgy elküldhet. Ha így is tárolják, az szimpla öntökölszúrás, mert egy db szivárgás esetén minden autentikációhoz szükséges adat ott van, vissza sem kell fejteni.
+1: Így hogy ismert a saltoláshoz használt string, nem sokat nehezít a dolgon. Ennyiből tárolhatod plain text-ben is.