Bueno .. no sé si te entendí bien lo que "entendistes" .. Peor SSL es transparente para tu programación .. de la encriptación, crear la sesión y demás se encargan el navegador (con soporte SSL .. hoy por hoy todos) y el servidor HTTP que tenga instalado su módulo SSL. Los datos que envies desde/hacia el cliente/servidor es lo de menos .. se codifica todo.

Sinceramente .. no me gusta reinventar la rueda .. El algorítmo del SSL creo que está a 128 Bits .. así que volver a implementar un algoritmo similar o de menos no es que me haga mucha ilusión.

Si deverdad estimas esos datos .. haz los posible$$$ para tener ese SSL y lo mejor .. un certificado SSL válido para que tus clientes confien en el sitio donde están poniendo esos datos.

Y si no puedes .. confia en que "por el camino" no va a pasar nada e invita a tus usuarios a que cambien las contraseñas cada cierto tiempo (por si acaso).

Un saludo,