Может ли администратор проверять пароли зарегистрированных пользователей?

Пароли пользователей хранятся в виде однонаправленного хеша. Даже заглянув в базу данных, вы не сможете узнать пароль. Это базовая функция защиты приватности. Большинство пользователей используют один и тот же пароль на разных сайтах; представьте, какие риски для пользователей возникнут, если администратор сайта получит доступ к их паролям. Вы можете перехватить пароль и получить к нему доступ, но это крайне плохая практика. Если бы я узнал, что сайт, на котором я регистрируюсь, хранит мой пароль в читаемом виде или пытается его перехватить, я бы, возможно, сообщил об этом в государственный орган по защите приватности в моей стране, а может и нет, но точно перестал бы пользоваться таким сайтом.

При этом вам, как администратору, не нужен пароль для доступа к профилю или данным пользователя. Администраторы имеют доступ к большинству полей профиля прямо в админке и, конечно же, через базу данных. Новые или кастомные поля в профилях пользователей можно кодировать с доступом администратора или без — это полностью на ваше усмотрение. Поэтому я не вижу смысла в получении паролей пользователей.