передаем на сервер логин
сервер генерит соль и отдает клиенту
клиент солит пароль, считает хэш (sha1 например) и передает хэш
сервак со своей стороны так же солит пароль, считает хэш и смотрит совпадает или нет.
ну и ограничения на сессию.
в итоге перехват трафика дает только доступ к сессии и не раскрывает пароль.
