So gehts richtig: Der Server generiert einen challenge-String (z.B. 32 Zufallszeichen) und sendet den zusammen mit der Loginaufforderung an den Client. Der berechnet dann die Prüfsumme zu username + password + challengestr. Diese wird an den Server gesendet. Jemand, der den Netzwerkverkehr abhorcht, kann so niemals das Passwort herausbekommen und sich somit auch nicht anmelden.

Mit welcher Technologie soll der Client was berechnen?
Und wie willst Du ausschliessen das dies der Nutzer nicht beeinflußen kann?
Nö nö nö so ganz einfach wie Du dies vorschlägst geht es nicht!
Warum benutzt Du nicht SSL?

Viele Grüße aus Berlin

Also ich mir das so vorgestellt:
Der Server hat ein MD5 Verschlüsseltes Passwort in einer Datenbank gespeichert. Nun generiert er ein UNIX Timestamp, fügt ihn mit dem Passwort zusammen und berechnet nun die MD5 Quersumme. Nun schickt er den Timestamp an den Client. Dieser führt nun die Selbe berechnung mit dem Timestamp und dem Passwort durch und schickt das Resultat an den Server. Somit ist ein sicheres Login gewährleisten. Durch sniffing ist das Passwort nicht herausfindbar, da jedes mal ein anderes Resultat an der Server geschickt wird.

Gruss