Во первых разумеется это законно. С чего бы вдруг это стало незаконным???
Во вторых - с чего вы взяли что ваш пароль хранится в незашифрованном виде?
Ну и в третьих - ни один нормальный веб ресурс не хранит пароли в зашифрованном виде.
<img>
кажется более привлекательным решением, хотя возможно я чего-то не знаю и сильно ошибаюсь) <img src="images/logo.png" />
или <img src="/images/logo.png" />
'reCaptcha' => [
'name' => 'reCaptcha',
'class' => 'himiklab\yii2\recaptcha\ReCaptcha',
'siteKey' => 'код сайта',
'secret' => 'секретный код',
]