Ich bin zufällig über diese Frage gestolpert und als IT Security Experte kann ich sagen: Ich kann die Passwörter der User nicht direkt einsehen. Aber ich kann die Hash-Werte der Passwörter sehen. Mit dem Hash-Wert kann man normaler weise nicht wieder zurück auf das Passwort schließen, aber es gibt im Internet listen mit Passwörtern und deren Hashwerten dazu. Wenn also das Passwort eines Users bereits in einer solchen liste vorkommt kann ich die Hashwerte miteinander vergleichen und so das Passwort im Klartext herausfinden. In der Praxis kommt das durchaus ab und zu mal vor. Als Tipp: Prüfe dein Passwort am besten hier: https://haveibeenpwned.com/Passwords , das Passwort wird auch hier nicht durch das Internet geschickt, sondern auch hier werden nur die Hash-Werte übertragen.