es completamente inútil enviar el hash desde javascript, igualmente un hacker lo puede filtar y usarlo y sabiendo que ese hash es lo que acepta tu sistema de logueo y rompiéndolo definitivamente (ya que la función en tu server solo verifica, no hashea, solo le pasas el hash y ya!, entró, dándole al hacker una lista de hash existentes).

la idea es que la contraseña se envié como tal y en el server le aplicas el hash y compruebas contra la base de datos, si lo que quieres es proteger tu loggin, no te queda otra salida que utilizar SSL (socket Secure Layer) que emplea un algoritmo de encriptación asimétrico muy difícil de vulnerar que lo hace automáticamente el navegador sobre los datos del form.

El unico detalle es que los certificados son de pago, pero puedes usar openSSL y es gratis, pero con un certificado propio no autenticado.