آیا واقعا پسورد ها هش شده ذخیره می شوند؟

همیشه فکر می‌کردم که سایت هایی که در آن‌ها اکانت می‌سازیم پسورد های ما را به صورت hash شده نگهداری می کنند تا در صورت لو رفتن دیتابیس‌شان پسورد های ما به دست شخص سومی نیافتد ولی به ۲ دلیل "معتقدم" که همه سایت ها اینگونه نیستند
۱-تغییر پسورد : بعضی سایت ها هنگام تغییر پسورد(کلمه عبور بگیم بهتره؟) بهمون هشدار میدن که این پسورد مشابه قبلی هست و به اندازه کافی برای استفاده امن نیست و البته می‌دونیم که اگر پسورد قبلی به صورت هش ذخیره شده باشد این امکان وجود ندارد که مشابهت پسورد ها بررسی شوند
۲−آمار پسورد های پر استفاده هر ساله منتشر می‌شود که گواه این است که پسورد های ما (حداقل برای مقاصد آماری) جایی به صورت plain text ذخیره می‌شوند..حال چطور می توانیم مطمین باشیم که با username است یا به صورت بینام ؟!
پ.ن۱: این مطلب صرفا نظر شخصی من و یک یادداشت ساده است
پ.ن۲: در این لینک اطلاعات خوبی یافت می‌شود مثلا اینکه یکی از راه های ذخیره پسورد با encryption است نه لزوما هش