PHP - Para qué cifrar la clave si...

Es para programadores... (me he estado leyendo post hasta la página número 20 por si alguien ya había preguntado/mencionado lo que ahora os narro... perdón si me duplico).

¿Para qué me he estado molestando en seguir el script de "Autentificator" creado por Cluster si él guarda las claves en formato md5() pero se envían desde el cliente al servidor en texto plano?

Es decir, ¿de qué me sirve guardar algo cifrado si se retransmite libre.

Después, me quedé pensando y puedo aprovechar un programa JAVA para cifrar en origen la clave y mandarla en ese mismo formato (por ejemplo) a través del puerto 80 y ya en destino se compara sin convertirla ya a md5().

Pero claro, esto ¡¡¡TAMPOCO SIRVE DE NADA!!! pues aunque la retransmisión esté cifrada, si me cogen la clave en md5 o sha1, crypt, rsa etc... SIEMPRE y digo SIEMPRE me pueden interceptar el login (mi_usuario) por ejemplo, y el password (234asdfasklj24234lkj234lñkj3) por ejemplo, y con esos dos datos, siempre, atacar al servidor para acceder a mis mismos lados.

Vamos, que da igual que sea "manolito" o "sd234lñ23f4kj234sad423fñljk" porque sigue siendo algo que al comparar, el servidor va a seguir teniendo en su base de datos.

Con lo que lo único fiable sería una conexión por ssh o ssl.

¿Me equivoco?

¿Alguien me puede razonar mis dudas?

Muchas gracias por adelantado,
Víctor.

Tu razonamiento es correcto.

El cifrado de las contraseñas en el servidor no tienen el propósito que estás pensando, sino evitar que se las roben a posteriori, no durante el proceso de login. Es decir, que por más que te copien el archivo que contiene las contraseñas le sea inútil a quien las robó.

Es verdad lo que dices. Para darle seguridad te conviene generar un token