Sózással együtt?
Lehet azt a kliens oldalon is.
Szerintem menjen csak a jelszó, ha a hash utazik, és azt kapják el, akkor pont ugyanaz az eredmény, mintha a jelszót szereznék meg.
Miért jobb megutaztatni az egész jelszót? Security by obscurity, ha attól félsz, hogy megtudják a hash algoritmust.
Viszont ha a jelszó utazik, a serveroldal olyan algoritmussal készíti a hash-t, amilyennel akarja.
Nincs túl sok ezekből. Én jobban bízok egy olyan algoritmusban, ami bizonyítottan jó és akkor ugyanúgy jó kliens oldalon is, mint egy olyanban, amit majd szerveroldalon jól megkókányolok.