Пароли в открытом виде???

Спасибо за вопрос. Всё верно, пароли хранятся в базе в не зашифрованном виде, но хранение паролей зашифрованными не добавляет безопасности. Если злоумышленнику удастся заполучит пароль пользователя в открытом виде, это также не помешает ему получить доступ к его странице, как если бы он заполучил зашифрованный пароль. 

С другой стороны обычному пользователю, если он забыл свой пароль, гораздо удобнее и понятнее получить его на почту, чем переходить по ссылкам, приходящим на почту и получения взамен старого забытого пароля нового беспорядочного набора символов, что в итоге вынуждает обычного пользователя либо где-то записать его, либо идти в настройки и менять его, либо, через некоторое время снова прибегать к восстановлению пароля. 

Спешу заверить, что на новой Ловасточке делает серьёзный акцент на защиту от взломов, в частности от SQL-инъекций, позволяющих получить доступ к хранимой в базе данных информации.

Так, если злоумышленник узнал вдруг захешированный пароль.. Да вот, мой, например:
63f7e7ff6b84d567f7679fabf5fcbbb9
И что он с ним делать будет? Естественно при изготовлении MD5 хэша использован не только сам пароль. 

Дальше.
Хранение паролей в открытом виде не этично. Т.к. администрация ресурса их может видеть, а люди зачастую пользуются 1-2 паролями на всех сайтах. Да, дураки, но что поделать, оно так.
И даже, опять же, не администрация, а таки хакнет кто сервер, и получит пароли людей в открытом виде, которые помогут так же открыть почтовые ящики, доступы к банковским интерфейсам и т.п. 

И на последок: присылать юзерам фарш в качестве нового пароля и впрять убого. В эмайле должна быть спец-ссылка, пройдя по которой юзеру предложено будет ввести новый пароль самому. 

Таким образом можно сделать и секьюрно и удобно.