Hallo Sven,

Man verschleiert das Passwort, man verhindert aber nicht die Angriffsmöglichkeit durch eigene Loginversuche.

Man verschleiert das Passwort nicht nur, man schützt es effektiv. Es ist in der Praxis nunmal so, dass Menschen das gleiche Passwort für viele verschiedene Dienste verwenden. Aus diesem Grund kann das Passwort eine viel schützenswertere Information sein, als die übertragenen Daten. Desweiteren ist es gerade bei irgendwelchen Administrationoberflächen entscheidend eigene Zugriffe durchführen zu können, wärend die übertragenen Daten relativ uninteressant sind.
Das durchführen dieser Zugriffe ist aber mit einem solchen Verfahren nur durch "Man in the middle"-Angriff möglich und damit relativ aufwendig.

Der OP sprach von einer "Verbesserung" bei den Session-IDs, nicht von einer Verschleierung der Login-Daten.

Im wesentlichen ja, mir ging es allerdings nur um:

Ich beschäftige mich für ein Projekt gerade mit dem Verschlüsseln von Zugangsdaten. Dazu möchte ich statt "Benutzername + Passwort + Hostname" einfach den zugehörigen Hash-Wert zur Kontrolle an den Server übermitteln.

Darauf hast Du geantwortet, dass es zwischen Klartext und SSL nichts mehr Vernünftiges gäbe. Dieser Meinung bin ich nicht.
Digest Authentification schützt die Zugangsdaten effektiv und das halte ich wie oben ausgeführt durchaus für ein Gewinn an Sicherheit, wenn auch nicht unbedingt für den betreffenden Dienst selbst.

Grüße

Daniel