Hallo,

Die Verschlüsselung müsste auf dem Client stattfinden. Ich stelle mir das in etwa so vor.
Der Client läd die Loginseite in der die Client-IP und die Serverzeit steht.
Der Client verschlüsselt IP, Zeitstempel und Passwort und schickt diesen String, den unverschlüsselten Benutzernamen und den unverschlüsselten Zeitstempel zurück.
Der Server nimmt nun die ClientIP, den mitgeschickten Zeitstempel und das Passwort des Benutzers, verschlüsselt die wieder und vergleicht das ergebniss. Zusätzlich überprüft er, ob der Zeitstempel ausreichend aktuell ist.

Mit dem Verfahren ist es nicht mehr möglich, sich durch das Abfangen der Logindaten Zutritt zu verschaffen, da der verschlüsselte String ja nur für eine bestimmte IP und Uhrzeit gültig ist.

Grüße

Daniel