Miért kéne plain text? Lehet rögzíteni, hogy a tárolt hash a rövid vagy a hosszú jelszóhoz tartozik, és annak megfelelően sózni+hash-elni a kapott string egészét vagy az első nyolc karakterét, és ellenőrizni, hogy egyezik-e a tárolttal.
A Cikibank netbankja ennél is durvább volt: nem különböztette meg a jelszavakban a kis- és nagybetűket... (És ezt írásba is adták, hogy így csinálják... (De hozzátették, hogy az SSL az milyen jól védi az adataimat...))