Ha a kliens oldalon sózod, akkor a kliensen használandó salt-ot és algoritmust a szervernek közölnie kell a klienssel, hogy mivel hozza létre az azonosításra szolgáló stringet, amit a szerver megkapva a nála tárolt adatból vet salt-tal sózva vet össze a nála lévővel. Lehet, de sok értelmét nem látom - nem egy "sima" jelszó megy át a dróton, amit a szerver "hagyományos módon" ellenőriz, hanem egy, 16 különböző karakterből álló, fix hosszúságú string.