По поводу кражи пароля: на сколько я помню, в SRP на стороне сервера пароль хранится в виде числа g^H(s|p), где g - некоторое небольшое число, s - соль, p - исходный пароль, H - хеширующая функция (обычно sha1). Чтобы расшифровать один-единственный пароль, нужно знать g,s и иметь дикие вычислительные ресурсы.