Используйте HTTPS + аутентификацию при помощи SRP-6, как подсказывают коллеги выше.
1. Правильно настроенный HTTPS обеспечит приемлемую защиту канала обмена данными (если пользователи будут минимально сознательны).
2. SRP-6 не дает использовать перехваченные данные повторно и не дает подобрать изначальный пароль на их основе.
Даже если атакующий обойдет SSL, например, получит доступ к закрытому ключу от Вашего серверного сертификата, или от более высокого в цепочке сертификатов, вплоть до корневых, и проведет MITM-атаку, используя легитимный с точки зрения клиентского браузера поддельный SSL-сертификат, то перехваченной информации атакующему будет все равно недостаточно, чтобы аутентифицироваться вместо пользователя.
Вместо SRP-6 можно использовать более слабые стандарты типа htdigest (HTTP digest authentication, rfc2617, есть в апаче из коробки, правда, в самом простом варианте использования это будет для клиента выглядеть как некрасивое стандартное pop-up окно в браузере).
