Si su contraseña se almacena correctamente, se almacena mediante el hashing de la contraseña y a salt. Aunque un cracker que viola el sistema en el que has creado una cuenta puede obtener la sal si puede obtener el hash, una sal de longitud no trivial detiene los ataques previos al cálculo y obliga al atacante a atacar cada contraseña por separado. Un algoritmo hash adecuadamente lento hace que los ataques a una sola contraseña sean difíciles, siempre que la contraseña sea lo suficientemente fuerte como para no estar en un diccionario ni sea vulnerable a los ataques heurísticos.
Por lo tanto, para una contraseña correctamente almacenada , el hash de la contraseña solo es esencialmente inútil para un atacante. (Por supuesto, muchos sitios no almacenarán las contraseñas correctamente, pero no hay mucho que puedas hacer para evitar que se vuelva a usar la contraseña).
Aquí hay más información sobre la salazón: enlace
Editar: He realizado el siguiente experimento con hashes.org. Primero calculé el hash MD5 de "amor", una contraseña tristemente común. Fue encontrado en hashes.org, como se esperaba. Luego calculé el MD5 de "amor" concatenado con "315379008", un número aleatorio de 32 bits. Como se esperaba, no se encontró no . Un sistema de contraseña real usaría un hash mucho más lento que el MD5 y una sal mucho más larga que 32 bits, por ejemplo 128 bits, lo que reducirá aún más las posibilidades de que se encuentre un hash precalculado, incluso para un Contraseña muy común. (Por supuesto, "amor" sigue siendo una contraseña terrible, incluso si está correctamente salada, ya que caerá en manos del atacante que tiene acceso a la sal. igual necesitas una contraseña segura.)