Nem ertem az egeszet. Mitol jobb az, ha hashselve kuldod? A WWW MD5 auth (amit SIP-nel is alkalmaznak) ugy mukodik, hogy kapsz egy noncet (mindig valtozik), amivel hashseled a jelszot es az megy el a szerver fele (csak a hash). A szerver ezutan a maganal clear textben tarolt jelszot szinten hashseli a nonceszal es ha egyezes van, akkor authentikal. Nesze neked hash!
Szerk:
Ráadásul azt sem tudod megállapítani, hogy a jelszó biztonságosan hashselve van elküldve. Lehet hogy szimmetrikus vagy nyílvános kulcsú titkosítással küldi el a script vagy direkt valami gyenge hasht alkalmaznak, hogy vissza lehessen fejteni. Ezt egy program nem tudja eldönteni.
Ha már jelszót kell megadni egy nem saját adminisztráció alatt lévő felületen (tehát nem nálad old fel valamit), akkor már eleve nincs biztonságban. Ezért használnak komolyabb helyeken tokent, SSH esetén PKI-t, HTTPS-en kliens oldali tanúsítványt, stb.. Ugye ezeket is fel kell oldani valami jelszóval vagy/és biometrikusan, de akkor már a te eszközöd biztonsága számít.