Интересно почему не используются в вебе технологии *CHAP . Это накладывает ограничение на сервер, что на нем будут храниться пароли с обратимым шифрованием, но при этом защищает от прослушки.
Даже Https не панацея - вспомните аваст, который подменяет корневой сертификат защищаемой системы, если это может делать антивирус, то скомпроментировать https на клиенте может любой троян.
Очень хотелось бы увидеть реализацию, в которой на клиенте пароль шифровался одним способом, передавался на сервер, там шифровался с солью сервера и в базе хранился бы хеш этого пароля. При авторизации клиент делает первый хэш, солит его солью полученной от сервера, передает на сервер. сервер солит второй солью пароль в базе, а первой солью полученный хеш авторизации. Сравнивает хеши. При таком подходе открытый пароль будет только в хтмл форме и сть ограничение на выбор хеш функций. но при довольно сложном алгоритме шифрования на сервере подобрать пароль и повторно использовать хеш становится сложнее.
Остается добавить к этому метод позволяющий не хранить пароль в поле ввода по мере набора...
