Они могут использовать шифрование, когда пароль хранится в БД, но им вообще не следует хранить его в извлекаемом формате, зашифрованном или иным образом.
Они должны использовать односторонний хэш пароля (плюс соль ). Это означает, что они могут проверить, что введенный вами сейчас пароль совпадает с тем, который вы указали ранее, но они (или какой-нибудь взломщик с доступом к своей БД) не могут выяснить, что это такое. Шифрование пароля означает, что взломщик должен будет найти БД и ключ шифрования, но поскольку ключ должен находиться на сервере, обслуживающем веб-сайт, это вряд ли возможно.
Поэтому, если они могут выслать вам ваш пароль, это означает, что они не следуют хорошо известным рекомендациям по безопасности.
Такая плохая практика является хорошей причиной для использования разных паролей для каждого сайта, на котором вы регистрируетесь .