Problem ist nur, dass der Server das Passwort ggf. unverschlüsselt gespeichert haben muss.

Kann ich mit Javascript auch MD5-Verschlüsseln?
Dann könnte ich das Passwort zunächst Verschlüsseln, xor'n und dann das Formular absenden.

Somit bräuchte es nicht unverschlüsselt abgespeichert zu werden.
Muss es immer in einer Datenbank gespeichert werden?
Oder ist eine Datei in einem mit .htaccess geschützten Verzeichnis auch möglich.
Wenn diese Datei z.B. durch eine login.php erzeugt wird, ist diese auch Besitzer. Man könnte somit auch nur der login.php Lese/Schreibrechte geben.

Gruß
Thomas