Предоставление хешированного пароля, даже соленого, является ИМХО явным конфликтом с хорошей практикой безопасности, особенно если хеш используется в URL.
Имейте в виду, что кэш браузера сохраняет все посещенные URL, поэтомуЗлоумышленник может использовать кеш браузера для извлечения хэша пароля, а затем начать его взламывать, например, с помощью одного из общих списков паролей.
Поэтому я бы никогда не использовал простой соленый и хешированный пароль в качестве параметра в URL-адресе.
Единственный способ, которым я бы принял хеш-пароль, - это если используемый хеш является HMAC (например, HMAC SHA-512) с произвольным ключом, специфичным для пользователя, который никогда не покидает сервер.В этом случае хэш пароля обычно бесполезен для злоумышленника.