Wenn schon nicht SSL, dann wenigstens via SALT gehaschte Passwörter.

Also vorher bekommt der Client eine Sequenz geschickt, zusammen mit dieser wird das Passwort gehasht,
welches dann bei einem gleichbleibendem Passwort jedesmal ein anderer Hash generriert wird.

Es wird also das belauschen des Passwortes erschwert und es bringt nix, wenn jemand diesen Hash mitloggt und ihn (den Hash) dann für eine eigene Anmeldung mißbrauchen ist so nicht mehr möglich, da der Hash ja nur einmal gültig ist und sich zusammen mit dem sich änderntem SALT vom Server verändert.