На волне краж паролей, вылезло несколько полезных руководств, как хранить пароли от вебсайта. Всякие там усиления, соления и т.п. Если кратко, ответ звучит «используй на сервере bcrypt со сложностью 10 и не парься». Грубое обобщение, но правдивое.
А вот как с клиента на сервер пароль передавать (при логине)? Использовать дополнительное хеширование, или юзать как взрослые SSL, и гнать plain text?
Я правильно понимаю, что хеширование делали только потому, что пароль шел по обычному http, или есть еще какие-то причины?