[SimonP]

Du kan få det rätt säkert även utan https, genom att använda java/javascript kan man se till att lösenordet aldrig lämnar klientens dator i klartext.

Servern genererar en "salt" dvs en slumpmässig kod varje gång nån besöker inloggningssidan. Användarens lösenord+salten körs genom en hashfunktion (som kan vara gjord i t.ex Javascript) på klientens dator, denna skickas sen till servern som verifierar den genom att köra samma salt i samma typ av hash funktion. Lösenord ska aldrig skickas/lagras i klartext, inte ens på servern. Det finns man-in-the-middle attacker mot HTTPS också.