Cita:
Iniciado por dontexplain 
Si envias por POST el hash el hash está desnudo, si envías el password el password queda desnudo. La única forma es simular SSL.
Para ello has de usar una key única a la recarga de la página, que será generada de PHP. Esa key servirá de clave para encriptar el password. Como la clave se genera cada vez que se recarga es imposible averiguar cual es.
A la llegada del password se descifra con esa misma clave almacenada en $_SESSION y se procede a la autentificación corriente.
Un saludo.
Lo que estás haciendo es cifrar en el cliente; en otras palabras, estás mostrando el camino para revertir el proceso y, en consecuencia, estás en la misma, sólo dificultaste un poco las cosas. La delegación del proceso en sistemas como facebookConnect, twitterConnect, o similares funciona de la misma manera en que lo hacen los carros de compra integrados con PayPal: llevan el proceso de intercambio de información sensible a un website con ssl.
