Un problema importante non è stato ancora menzionato:
L'autenticazione (mancante) del client in SSL / TLS .
Mentre @deviantfan ha alcuni punti validi, vorrei aggiungere questo problema di base, perché la tua proposta non è fattibile.
TLS senza autenticazione client:
In genere SSL / TLS vengono eseguiti con il server che si autenticano sul client, ma non viceversa. Ciò significa che qualsiasi client può configurare una connessione TLS sicura con il server e assicurarsi che il server sia legittimo. Tuttavia, se non c'è l'autenticazione del client, il server non può essere sicuro, se la persona che si connette ad esso è la persona che afferma di essere. Pertanto, non avrebbe senso che il server invii una password a qualsiasi client in questa configurazione.
TLS con autenticazione client:
Nel caso in cui l'autenticazione del client venga effettivamente eseguita per configurare la sessione TLS, il server può essere sicuro che il client è chi afferma di essere. Tuttavia, per abilitare l'autenticazione del client, sul lato client è necessario installare un certificato (+ chiave privata). Se questo tipo di autenticazione reciproca è già stato stabilito, non sarebbe necessario avere una password per accedere in primo luogo.