Sì, questo è male. Se tutto ciò che serve al server per autenticarti è questo (mai cambiare) hash, quindi è la tua password ora. Non è meglio che inviare la password in chiaro, perché tutto ciò di cui ha bisogno l'autore dell'attacco per impersonare te è quell'hash.
Invece, se vuoi usare password hash per la trasmissione, il modo in cui lo fai è attraverso una challenge- risposta sistema. In questo modo, lo stesso hash non viene mai inviato due volte. Ma questa non è una buona idea, perché ...
È più importante che la password non sia archiviata sul tuo server. TLS / SSL è sufficiente per prevenire qualsiasi tipo di attacco man-in-the-middle. Quella parte è risolta, basta usare TLS e non preoccuparti di ciò. Ma tu fai devi preoccuparti che il tuo server venga violato e che il tuo database delle password sia trapelato. Pubblicare database di password di altre persone è di gran moda in questi giorni, e non vuoi essere uno di quelli catturati non hashing il loro database. Non ci sono scuse.
Quindi, trasmetti le tue password in testo semplice all'interno di una connessione crittografata, ma memorizzale come hash sul server. Se fai qualcos'altro, qualsiasi altra cosa, allora stai sbagliando.