¿Por qué es tan importante no guardar contraseñas en texto plano? Creo que es el mismo problema, como autorizar a un usuario en un servicio web RESTful, donde la mayoría de los desarrolladores afirman: "No envíe su token de seguridad dentro de la URL". Si soy un pirata informático y tengo acceso a la base de datos, no es importante si la contraseña es segura o no, porque se puede cambiar una contraseña (factor: humano), pero no mi número de casa, etc.
Lo mismo en mi ejemplo de REST: si tengo la posibilidad de capturar el tráfico de la red, no debería ser importante si el token de autorización se coloca dentro de la URL o el encabezado POST / PUT.
¿Por qué no debería almacenar contraseñas en texto plano? Vi a muchas personas hacer facepalming, pero nadie está lo suficientemente en forma como para darme una buena respuesta.