Эммм... Я конечно всё понимаю, но вот откуда у тебя сведения про 65535 вариантов паролей?

Пароли хранятся в базе. Однозначно. Иначе сервер не может проверить пользователя. НО! Как они там хранятся. Чаще всего они хэшируются либо по md5, либо по sha1, и т.д. Хэширование операция унарная. По хэшу восстановить пароль нельзя, зато можно сравнить хэши вводимого пароля и хэша в базе. Именно поэтому он восстанавливается на произвольный.

А вот 2[sup:nccqa9n2]16[/sup:nccqa9n2] вариантов... Извини, но при таком раскладе вообще паролить что-либо бессмысленно, ибо любой брутфорс за полсекунды скажет тебе кто ты есть такой.