edofullo Se salvi le password così è (quasi) esattamente come salvarle in chiaro. L'MD5 è violato da mo', con un po' di schede video "bruci" una password di 10-12 caratteri in minuti se non ore, e secondo me con tutti i chip che hanno creato per le criptovalute non ci mettono tanto a riutilizzarli come brute force per i vari SHA-256.
Infine, esistono le rainbow table, la più vasta è... Google. Prova a cercare un hash e vedrai che per i più comuni troverai il risultato.
Il modo corretto è salvarle hashed+salted, con algoritmi di amplificazione che richiedono tempo per essere calcolati e quindi rallentano le verifiche (PBKDF2 tanto per citare il più usato).
Ah, crypt è limitato a 7 caratteri mi pare, dopo tronca. Prova se non ci credi. A lavoro per un sistema che lo usava (l'ho fatto togliere io) entravo con neanche mezza password.