VF>>>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль

Pzz>>Можно было бы, например, вычислять хэш, переведя сначала строку в нижний регистр...

VF>Можно... А еще можно сделать поправку на (возможно) непереключенную раскладку (опять же, для удобства). Ну и типичные опечатки учесть...

И это тоже можно делать, храня только хэш пароля. Достаточно привести к некоторому нормальному виду перед вычислением хэша (с учётом регистра, раскладки, опечаток и т.п.).
Более того, в теории можно даже добавлять новые варианты нормализации пошагово и обновлять хэши паролей при следующем входе.
Я тоже сначала посмеялся, но, если задуматься, то в системах, для которых брутфорс не является угрозой, это было бы очень хорошим решением, повышающим удобство пользователей.
Хотя большинство, конечно, давно хранит пароли в браузере и вручную их не вводит.