Nuançons le « Stocker en clair c’est mal ».  En effet, il faut être conscient de la relative inutilité du cryptage de mots de passe : en effet, on voit dans des études comme celle de Troy Hunt ( http://www.troyhunt.com/2011/0… ) que la majorité des passwords sont d’une banalité impressionnante.
Donc ( situé dans ce contexte où les utilisateurs protègent mal leurs données) la personne ayant récupéré une base de donnée avec mots de passe cryptés va en décrypter la plupart avec une grande facilité (le salage ne sert ici à rien).Finalement, le cryptage, dans ce cas, n’est qu’une protection contre un utilisateur lambda qui tomberait sur les données, mais pas contre un pirate « mal intentionné ».
Sachant que crypter des données, ça prend du temps, et ce à chaque opération et que dans certain cas, un critère important est la réactivité de l’application web, le stockage en clair devient une option pertinente.
Attention toutefois : cette option n’est pertinente que si des efforts particuliers sont alors réalisés pour empêcher la fuite de donnée, autant bien par des mesures techniques que humaines.