Jeśli klient po prostu wyśle zakodowane hasło, to hashowane hasło to "hasło": ciąg bajtów, które klient musi pokazać jako uwierzytelniony. Jeśli napastnik może to obwąchać, to twój protokół jest skazany na zagładę.
Jeśli protokół uwierzytelniania polega tylko na przedstawieniu tajnych danych (w razie potrzeby można je nazwać hasłem), wymiana powinna nastąpić w obrębie środka transportu, który zapewnia poufność (tak, aby nie można było wciągać tajnych danych) i uwierzytelnianie serwera (aby atakujący nie mógł naśladować serwera i przekonać klienta do wysłania mu tajnych danych). To właśnie dostajesz z klasycznego tunelu SSL/TLS (adres URL: https://, w kontekście sieciowym).
Jeśli nie można ustanowić tunelu SSL/TLS z uwierzytelnianiem serwera (tj. Serwer ma certyfikat, który klient może zweryfikować), to może być konieczne skorzystanie z protokołu uwierzytelniania z wyzwaniem: serwer wysyła sekwencję losowe bajty (wyzwanie), a klient odpowiada wartością skrótu obliczoną na podstawie połączenia hasła i wyzwania. Nie próbuj tego w domu! Bardzo trudno jest zrobić to dobrze, szczególnie gdy atakujący może przechwytywać komunikację (aktywne ataki).
Bardziej ogólna odpowiedź to protokoły password-authenticated key exchange. PAKE łączy w sobie protokół szyfrowania kluczy kryptograficznych (taki jak Diffie-Hellman) i uwierzytelnianie wzajemnego hasła między klientem a serwerem, w sposób, który pokonuje zarówno pasywnych, jak i aktywnych napastników, nawet ze stosunkowo słabymi hasłami (atakujący nie może uzyskać wystarczającej ilości danych, aby "spróbować") hasła bez interakcji z klientem lub serwerem dla każdego odgadnięcia). Niestety kilka algorytmów PAKE zostało ujednoliconych poza opisem matematycznym, a obszar ten jest opatentowanym polem minowym.
Użyj protokołu SSL i porównaj certyfikat serwera z hashem osadzonym w programie. – CodesInChaos