Hallo Thomas,

SSL kannst Du nicht verwenden? Ein Schwachpunkt ist nämlich schon, dass das Applet nicht vor manipulation geschützt ist. Schließlich könnte man das Applet wärend der Übertragung manipulieren und einen Mechanismus einbauen, um das Passwort abzufangen. Schützen kannst Du Dich davor nur, indem Du SSL mit einem offiziellen Zertifikat vermendest oder das Applet mit einem solchen Zertifikat signierst.

• ein Client sagt zum Server erstmal HELLO
• der Server schickt eine zufällige Zeichenkette zurück und speichert sich diese mit der Session-ID in einer DB
• der Client wird diese Zeichenfolge dann mit einem Kennwort verschlüsseln (Blowfish) und zurückschicken

Ein Angreifer kennt also den Klartext und die verschlüsselte Nachricht. Bist Du sicher, dass sie damit nicht der Schlüssel (in diesem Fall also das Passwort) berechnen lässt?

Besser geeignet wäre in dem Fall wohl ein Hashingverfahren wie md5. Der Client könnte sich mit md5(sessionid_vom_server + md5(passwort)) anmelden. Damit würde es auch reichen, auf dem Server md5-Prüfsummen der Passwörter zu speichern.
Evt statt die Prüfsumme aus Passwort und einem zusätzlichen Datum (Benutzername, Zufallsstring, ...) damit man keine doppelten Passwörter erkennen kann und Tabellen der md5-Summen häufiger Passwörter nutzlos sind.

Grüße

Daniel