+1 az OpenID-nek (amivel ráadásul az OTP is megoldódna, mert van olyan szolgáltató, aki támogatja)
Ha mégis esetleg saját https bejelentkezés lenne, akkor nehogy úgy legyen mint a freemail kapuja, ahol akkor lopom el a jelszót amikor akarom. Ha nincs keret teljes https-re, akkor a szegény ember dupla bejelentkezése a megoldás: sima http-n biztonságos bejelentkezésre kattint, átmegy https bejelentkező oldalra és ott írja be a jelszót, majd auth után vissza http-re. Tényleg elég lenne csak a jelszót levédeni, mert ez veti fel a legtöbb biztonsági problémát. Szerveren pedig egyedi salt mindenkinek + SHA.
Ja és cirkuszt és kenyeret! :)