Причина, по которой я использую предварительно вычисленные хэши, - это не защита от атак, а защита конфиденциальности пользователей.
Атакующий может действительно аутентифицироваться, но он не может (легко) видеть пароль моих драгоценных пользователей и компрометировать другие службы, которые они используют и т. Д.