Un algoritmo che "solo la macchina remota sa" non esiste . Gli algoritmi non sono segreti. Esistono come codice sorgente, codice binario e concetti mentali in vari luoghi, compreso il cervello degli sviluppatori. I crittografi hanno deciso molto tempo fa (mezzo secolo) di dividere "crittosistemi" in chiavi , che sono segreti e algoritmi , che non lo sono. Lo hanno fatto perché è quasi impossibile mantenere un algoritmo segreto, e anche quando non è ampiamente noto, non puoi dire "quanto" è segreto.
Generalmente qualsiasi cosa relativa alla sicurezza con HTTP semplice è una cattiva idea. Semplice HTTP non offre alcuna protezione contro l'intercettazione, ma non protegge nemmeno dal dirottamento attivo. E hai bisogno di entrambe le protezioni. SSL fornisce entrambi. Usa SSL. Una volta che usi SSL, molte cose sono più semplici e, in particolare, puoi inviare le password "così come sono" nel tunnel SSL.
"hash decifrabile" è un'espressione priva di senso: per definizione, una funzione di hash crittografica è a senso unico , che significa l'esatto opposto di "decryptable". Vuoi dire "password crittografata". E crittografare le password significa che si prevede di decrittografarle da qualche parte, il che è una cattiva idea, a meno che non sia solo per il trasporto, non per l'archiviazione; e, per il trasporto, usi SSL.