Cita:
Iniciado por Profesor_Falken 
Tienes toda la razon.
En cualquier cosa MD5 y SHA256 son metodos de encriptacion asimetrica. Es decir, que no de pueden desencriptar. No son lo mismo ni se utilizan para lo mismo que AES.
Necesitas evitar entonces el ManInTheMiddle.
En ese caso necesitas si o si algo que encripte la conexion punto a punto a nivel de protocolo. Es decir, que necesitas SSL o TLS.
Hacer la conexion SSL no cuesta dinero. Lo que cuesta dinero es el certificado, que sirve para que el navegador no te de avisos.
Si quieres evitar tu problema, tendras que pagar o bien asumir el riesgo. Ten en cuenta que el 99% del las paginas web envian el usuario y contrasena sin una conexion ssl (por ejemplo este foro). Realmente es tan critica la informacion de tu sitio?
En cualquier caso hoy en dia puedes conseguir un certificado bastante barato:
[url]https://www.namecheap.com/security/ssl-certificates/domain-validation.aspx[/url]
Un saludo
Muchas gracias. Me has aclarado mucho el tema y estoy más tranquilo.
Pero entonces, por ejemplo este sitio, ¿no podría alguien capturar la clave y contra de un usuario?
La info a proteger es solo el usuario y la contraseña, así que no, no es tan crítica. Pero hombre... yo imagino que alguna "seguridad mínima" debe haber... ¿no?