Si envias por POST el hash el hash está desnudo, si envías el password el password queda desnudo. La única forma es simular SSL.

Para ello has de usar una key única a la recarga de la página, que será generada de PHP. Esa key servirá de clave para encriptar el password. Como la clave se genera cada vez que se recarga es imposible averiguar cual es.

A la llegada del password se descifra con esa misma clave almacenada en $_SESSION y se procede a la autentificación corriente.

Un saludo.