単にパスワードをMD5でhashさせて保存していると、それを元に戻すことは可能。やり方は簡単で、GoogleなどのDBにhash値を入力すると、そのもとの値らしき文字列が分かる。
原理は簡単で、単語をMD5でhashにして、それをURIの一部として使ってるCMSが結構あるらしい。で、それをGoogleがインデックス化してるから、そのデータベースができあがってると言うわけ。そんな話が下記に載ってる。
http://wordpress.rauru-block.org/index.php/1512

それはまずいのでパスワードにランダムな値を入れて、それをhashすることでその問題を回避できる。そのランダムな値をsoltと言うそうだ。
パスワードの保存に SMD5 (Salted MD5) や SSHA1を使う (MD5 への辞書攻撃とか) - まちゅダイアリー(2007-10-23)