パスワードリマインダが利用できないと利便性が低下することにより強度の低いパスワードが利用される懸念があるためパスワードハッシュによる認証は行っていませんでしたが、
選択式でハッシュモードにする機能を導入しました。
パスワード変更から設定できます。
ハッシュモードにした場合、パスワードリマインダが再設定になります。
パスワードリマインダによる再設定が行われた場合はハッシュモードは解除されます。
ハッシュモードを設定した場合はサーバーにはパスワードの桁数とSHA1ハッシュが記録されます。
桁数違いでハッシュが衝突した場合は否認されます。
[追記]
パスワードは最大255文字まで有効でしたが、今回の変更で桁数を64進1桁で記録する関係で最大64文字になりました。
桁数の記録はヤメました。
元々255文字までだったことと構想段階ではMD5にする考えだったため桁数を限定した方が衝突しにくいと思いましたが、
ランダム生成機能が16桁固定のため16桁のパスワードが多いと思うのと、短いパスワードの場合のことも考えると桁数を限定しない方が良いような気がしたので。
パスワードにユーザー別に固有の値を追加した上でSHA1を計算するように変更しました。