Люди кажутся слишком довольными этим! Угроза - это не какой-то парень с доступом оболочки к вашей системе или носителю резервной копии, это может быть любой сценарист, который видит незащищенную (но динамическую) часть вашего сайта (*) и одну пропущенную угрозу внедрения SQL. Один запрос и вдруг он может войти в систему как любой пользователь, или даже как администратор. Хэширование паролей значительно снижает вероятность того, что злоумышленник сможет войти в систему как любой конкретный пользователь, используя свой пароль, или обновить запись своим собственным паролем.
(*) «незащищенный» включает в себя любую часть сайта, к которой можно получить доступ как самостоятельно зарегистрированный пользователь. Сравните это с банковским сайтом, например, где у вас должен быть существующий банковский счет, чтобы получить доступ к большей части сайта. Злоумышленник все еще может открыть банковский счет, чтобы получить доступ к сайту, но было бы гораздо проще послать за ним крупных парней с оружием большего размера, когда он попытается взломать систему.