A normál digest authentikáció során (ami kb a HTTP Basic authtal egy idős) a szerveren clear-text kell tárolni a jelszót. Ha hasheled akkor meg a klienstől is a hash kell, de ebben az esetben a támadó a hash ismeretében is be tud lépni, nincs szüksége a jelszóra, azaz ilyenkor a hash lényegében a jelszó a protokoll felől nézve. Mindenképp szükséged van egy közös titokra amivel a szerver oldalról bárki meg tud személyesíteni. Egy Kiss Pista Bt webshop esetén ez nem akkora gáz, de egy Csak Milliárdosoknak Svájci Bank Zrt. esetén már lehet szempont.
A SCRAM ad erre megoldást, de én még nem láttam sehol sem használni. Ebben az esetben is több mindent kell a szerveren tárolni de a jelszó nem szükséges.