Пароли, как правило, хранятся в
хешированном виде, записи могут быть доступны старшим администраторам и всем сотрудниками обслуживающим хостинг (сервер) на уровне БД/файлов.
Открытый пароль (передаваемый без шифрования) может быть перехвачен на любом участке канала связи, от лестничной клетки/чердака до шлюза любого уровня.
В принципе, при желании и наличии времени можно получить пароль и из хеша методом перебора, но кому этот пароль нужен, что он может дать, какие имеются в виду корыстные цели? Это же не банковская карточка.
Чем сложнее пароль, тем дольше его подбирать, но опять же непонятно для чего, применительно к форуму, это может дать возможность войти и запостить один-два раза от чужого имени, в детском саду наверно актуально.
Хотя допускаю, что есть категория пользователей, которая устанавливает один и тот же пароль везде и всюду - от форума до управления банковским счетом, но это уже по части социальной инженерии и ИМХО у такого пользователя нет управления чем-либо достойным внимания хакеров.