Ya, también pensé en FBConnect y demás pero el cliente no quiere...
Y a dontexplain: eso es más o menos lo que hago. Mira, cada vez que se entra al login se renueva $_SESSION["token"] con una cadena aleatoria que se pasa mediante campo hidden al cliente. La idea es que el cliente mande al servidor este hash:
md5(token_del_campo_hidden+md5(password_escrita_en _el_campo_password))
Y luego en el servidor se hace md5($_SESSION["token"]+md5(password_de_la_DB)) y se comprueban ambas cadenas.
Así, si hay un ataque Man In the Middle que intercepta ese hash dará igual, porque cuando lo intente usar el hash del servidor ya habrá cambiado (porque $_SESSION["token"] se habrá renovado).
Y después de haber pensado y desarrollado esto me jode que se esté mandando también al router la contraseña "desnuda" simplemente porque está dentro de la etiqueta <form>... y si saco ese input del form (para que no se mande) entonces no aparece lo de recordar contraseña...
Si no hay solución pues se lo pongo al cliente tal y como está y oye, que él valore...