¿Como?

¿Como y cuando genera ese "hash"?

Es decir... Si tú tienes que escribir tu password en una página tienes que enviar ese password o preprocesarlo si no lo envías (es decir, el hash no se genera en servidor dado que debes enviar el password para que se genere ese hash).

Si tienes que preprocesarlo, ese preprocesado se realiza en tu ordenador... Ya sea mediante javascript, o un applet java, o action script...

Si se trata de javascript, tendrás el código fuente que genera el hash (el algoritmo de la función hash) en tu equipo (muy mala idea).

Programas como pwdump intentan sacar los passwords a partir de hashes contenidos en la SAM (son hashes generados por el sistema windows para mantener las passwords de sistema encriptadas en la SAM)... Por eso pwdump NO VALE para cualquier tipo de función hash. Tendrías que saber el algoritmo utilizado para obtener el hash si quieres saber de que forma uedes atacar ese hash. Por eso es mala idea tener el algoritmo en los PCs de los clientes (sobre todo si es en javascript)...

Sigo pensando que SSL es mejor opción. Sin un keylogger, y si eres precavido para no caer en un MitM, tu password estará bastante seguro. Aunque... siempre podrán capturar tu sesión una vez autenticado, claro.