интересно, можно ли создать такой пароль, который знает пользователь, а на сервере он не хранится? вообще никак -- ни хэш, ничего.
клиент именно знает этот пароль, в уме, а не владеет чем-то физическим, заменяющим пароль, например, каким-то физическим ключом или отпечатками пальцев.