Я не знаю, как сформулировать вопрос, так что я сделаю это так, рассказывая, насколько я знаю, и узнаю, сможет ли кто-нибудь улучшить свое положение. Я использую PHP и Javascript, но я буду рад ответу по английскому sh, по математике или псевдокоду, даже если он неполный.
Какова лучшая практика для передачи паролей по соединению, которое не может быть гарантировано как безопасный?
1) Боб отправляет необработанный пароль. [Алиса может знать пароль]
2) Боб отправляет необработанный пароль, скрытый как md5. [Алиса, которая может md5, может знать пароль]
3) Боб отправляет необработанный пароль, зашифрованный как SHA, и я проверяю его по SHA, а не по паролю, когда кто-то входит в систему. [Алиса может знать SHA пароля и может просто отправить SHA для входа в учетную запись bobs]
4) Боб регистрируется и получает одноразовый секрет, после чего bob отправляет пароль, зашифрованный с помощью секрета. [Боб может потерять секрет, если Алиса слушает, когда секрет посылается Бобу, Алиса может знать пароль]
5) ...
Извините, если мне не хватает языковых навыков для опишите мой вопрос более кратко, но есть ли более безопасный, но менее неудобный способ для боба, чем 4)?