良くわからんのだけど
googleが実験したってやつは要するにsha1()にかけたときに
正当なパスワードと同じ結果を生む文字列の探索でしょ
sha1()は160bitだからまだ同じ結果になるものを探索できたということ
正当なパスワードが漏れるんじゃなくて、不正ログインできちゃう別のパスワードが出てくるということ

この攻撃がWebサーバのphpを通して通用するなんてとても考え難い
正解のsha1()が漏れてる想定になるんだから他のデータも漏れてる想定が妥当
そのうえ、単純にパスワード文字列に1回sha1()かけただけの場合の別パスワードの解析ですら超長時間が必要

限定的過ぎてとても現実的な脅威に思えないんだが、こういう理解で合ってる?