Lo siento, esto puede ser tonto, pero hay algo que no entiendo sobre Phpass. Si puedo crear una contraseña hash segura como esta:

$pwdHasher = new PasswordHash(8, FALSE);
$hash = $pwdHasher->HashPassword( $password );

y luego verifíquelo así:

$checked = $pwdHasher->CheckPassword($password, $hash); 

entonces eso significa que, lógicamente, las contraseñas deben almacenarse de tal manera que solo puedan leerse en una máquina específica (de lo contrario, alguien podría usar la función "Verificar contraseña" en otra máquina para obtener la contraseña). ¿Cómo hace esto Phpass?

Si necesito mover un sitio web a un nuevo servidor en el futuro, ¿no es esto un problema? ¿Cómo hago una copia de seguridad de mi base de datos de manera segura para que en caso de una falla importante del servidor, pueda recuperar todas las contraseñas? (¿Me estoy perdiendo algo obvio?)

Edit: en respuesta a los comentarios a continuación, si diferentes máquinas no lo afectan, entonces, si un hacker obtiene acceso a mi base de datos, ¿por qué no pueden simplemente ejecutar CheckPassword en su propia máquina para obtener la contraseña original? Lo siento, debo estar perdiendo algo obvio.

Edit 2 - Maldición, me faltaba algo obvio. La función de comparación solo compara la contraseña dada con la hash y devuelve verdadero o falso; en realidad, nunca tiene que tener acceso a la contraseña en sí. ¡Disculpas por ser tonto!