el quid de la cuestión está en que la contraseña viaja encriptada incluso en el caso de que no estemos en un servidor seguro y que la semilla que se usa para generar el hash sólo está en un objeto session, con lo que es muy difícil (no me atrevo a poner imposible) que alguien la descubra