si lo è, ed è anche illegale non farlo. per la legge sulla privacy, tutte le password devono essere criptate.

in effetti in questo caso (visto che hai comunque in passaggio della password dal computer dell'utente al server in chiaro, con connessioni non protette), l'utilità è quella di impedire a qualcuno di leggere le password se dovesse riuscire ad accedere al database (es.: hacking tramite sql injection)