認証の際に入力されたパスワードをハッシュ化したりしたものと、保存されているハッシュ化やストレッチングされたパスワードを
比較するわけなので、ハッシュ化されたパスワードが漏洩してもそれをそのまま用いれば認証を突破できるのではないかと思ってしまいます。
「元のパスワードが漏洩しなくても、パスワードのハッシュが漏洩すればそれを使って認証できてしまうのではないか」というご質問と解釈しました。その前提で答えますね。
おっしゃる通りです。ただし、パスワードハッシュだと、元のパスワードが漏洩したときよりは認証できるようにするのが難しいですから、実際に攻撃を受けるまでの時間稼ぎにはなります。
パスワードハッシュがあれば、調べかたはなんでもいい (総当たり〔ありそうなパスワードを片っぱしから試す〕でもかまわないです) ので、とにかく時間さえかければ元のパスワードをつきとめることができます。
ですから、「漏洩したのはパスワードではなく、ハッシュだから安心」なんていうことはまったくないです。漏洩したことが判明したら速やかにパスワード変更などの措置をとることで、攻撃者がパスワードを使える機会を失わせることが大事です。
まとめると、ハッシュ化する理由は、「元のパスワードを突き止めるのが難しい (と考えられる) ため、対策のための時間稼ぎができるから」にすぎません。
あと余談。
かつてパスワードハッシュによく使われたMD5は、ハッシュから元のパスワードをつきとめるのが (当時の水準では) 難しいとされました。しかし、MD5はハッシュの計算を少ない計算資源で高速にできるアルゴリズムだったため、コンピュータの能力が上がった現在では、総当たり法に弱いということになってしまいました (あと、総当たり法より効率のよい復元アルゴリズムも発見されています)。
現在では、ストレッチングを実施するなどの手法で、ハッシュ化に計算資源を要求するアルゴリズムをわざと用いることが多くなっています。総当たり法で解こうとしても、多数のパスワードを試すのには多くの計算資源 (つまり時間) がかかることになります。
本当のユーザがパスワード認証するときも、ハッシュの計算に従来より多くの計算資源を使っていることになりますが、ひとつのパスワードを試すだけなので大した負荷にはなりません。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。