Здравствуйте, grosborn, Вы писали:

G>Лучше бы конечно специалиста спросить.

Лучший способ обезопасить логин, а так же другую информацию, передаваемую на сайт, является использование современных криптографических протоколов — TLS (SSL 3.1)

Если знаете что-то лучше этого — дайте знать.

В форумах типа вобла (vBulletin) вводили механизм передачи хешированого пароля с помощью JavaScript — а смысл? На сервере сравнивался этот же хеш с сохраненным, т.е. проснифив хеш передаваемый на сервер, злоумышленник так же может и сам передать его. В этом случае паролем выступает MD5 хеш пароля.

Единственный способ безопасно передать данные на сервер — использование криптографического протокола. И ничего тогда лишнего выдумывать не надо. Весь трафик будет шифрованный. Для некоторых CMS есть модули позволяющие осуществлять безопасный логин, например — http://drupal.org/project/securelogin

Более надежный способ аутентификации — двухфакторыный. Передача вместе с тем что вы знаете (пароль) еще и чего-то что есть только у вас (железяка генерирующая токен, смс код который вы получите на свой телефон) или чего-то кем вы являетесь (скан сетчатки глаза, ваше ДНК, отпечатки пальцев)
Но это уже совсем другая история.

Действительно интересно мнение авторитетных специалистов по безопасности веб-сайтов.

Если есть какой-то более безопасный метод передачи данных на сайт, кроме как через HTTPS с использованием TLS — дайте знать.