So gehts richtig: Der Server generiert einen challenge-String (z.B. 32 Zufallszeichen) und sendet den zusammen mit der Loginaufforderung an den Client. Der berechnet dann die Prüfsumme zu username + password + challengestr. Diese wird an den Server gesendet. Jemand, der den Netzwerkverkehr abhorcht, kann so niemals das Passwort herausbekommen und sich somit auch nicht anmelden.

Mit welcher Technologie soll der Client was berechnen?
Und wie willst Du ausschliessen das dies der Nutzer nicht beeinflußen kann?
Nö nö nö so ganz einfach wie Du dies vorschlägst geht es nicht!
Warum benutzt Du nicht SSL?

Viele Grüße aus Berlin