Если клиент просто отправляет хешированный пароль, то хешированный пароль : «пароль»: последовательность байтов, которую клиент просто должен показывать для аутентификации. Если злоумышленник может понюхать это, ваш протокол обречен.
Если протокол аутентификации состоит в том, чтобы просто представить часть секретных данных (назовите это пароль, если хотите), то обмен должен произойти в транспортном носителе, который обеспечивает конфиденциальность (так что секретные данные не могут быть обнюханы) и (чтобы злоумышленник не мог имитировать сервер и убедить клиента отправить ему секретные данные). Это то, что вы получаете из классического туннеля SSL/TLS (URL-адрес https://, в контексте сети).
Если вы не можете установить туннель SSL/TLS с аутентификацией сервера (то есть сервер имеет сертификат, который клиент может проверить), тогда вы можете обратиться к протоколу аутентификации с вызовом: сервер отправляет последовательность случайные байты (вызов), и клиент отвечает хэш-значением, вычисленным по конкатенации пароля и вызова. Не пытайтесь повторить это дома! Это очень сложно сделать правильно, особенно когда злоумышленник может перехватывать сообщения (активные атаки).
Более общий ответ password-authenticated key exchange протоколов. PAKE объединяет протокол соглашения с криптографическим ключом (например, Diffie-Hellman) и взаимную аутентификацию паролей между клиентом и сервером, таким образом, который побеждает как пассивных, так и активных злоумышленников даже при относительно слабых паролях (злоумышленник не может получить достаточное количество данных для «попытки», пароли без взаимодействия с клиентом или сервером для каждой догадки). К сожалению, несколько алгоритмов PAKE были стандартизированы за пределами математического описания, и область является патентным минным полем.
Используйте SSL и сравните сертификат сервера с его хешем, встроенным в программу. – CodesInChaos