恐らく、生メアド+(パスに塩味として生年月日か氏名を付加したものに
ハッシュ掛けたものを保持しておき、ユーザログイン時に認証として
同じ作業をして一致を確認しているものと思われるが、
ハッシュアルゴや塩味が何かなど公表することはないと思われ。
ただメアドがバレてんで、400万人もいれば、pass01とか、簡単なパスで
全件アクセスされたら、かなりのユーザがヒットするだろうし、
個別のメアドについて、総当りのアクセスを試みたら簡単に突破されると思われ。