Протокол Secure Remote Password разработан именно для этих случаев. Есть плавающие вокруг реализации JavaScript, которые должны подходить в контексте HTTP. Но имейте в виду, что это может защитить от кого-то , слушающего пассивно, но не от кого-то вмешивающегося с трафиком, поскольку они могут просто вместо этого отправлять пользователям испорченный JavaScript.
Также имейте в виду, что даже если клиентские пароли не могут быть скомпрометированы тем, что они аутентифицированы, они все равно будут уязвимы для человека в средней атаке, если вы не позаботитесь о его защите, например. используя SRP Hermetic
Clipperz должна быть хорошей библиотекой SRP JavaScript, подходящей для вашей цели.