"generalashoz egy (pl. webes) admin felulet kell"
Valamivel most is generálod....
"Ha egy adatbazisbol veszed a jelszot, akkor is a kliens jelszavaban bizol meg"
Nem bízok meg benne. Én generálom, eltárolom és elküldöm neki. Ha amit visszaküld egyezik azzal, amit én tárolok, akkor örülünk.
A te módszered viszont az, hogy kapsz egy jelszót, amit egy algoritmussal ellenörzöl, és ha az ellenörzésen átmegy, akkor beengeded. Nincs kontroll, hogy te valóban kiadtad -e bárkinek azt a jelszót.
Abban a pillanatban, hogy az algoritmus bármilyen ok miatt kiszivárog/visszafejtik stb, már tetszőleges jelszó generálható belépésre úgy, hogy a jelszó ellenörző szervert nem kell kompromitálni.
Nyilván a védendő rendszer kritikusságától függően ez a megoldás még elégséges lehet. (Pl. egy noname kis cég ftp site-jának védelmére.)