Nell'autenticazione basata su moduli le credenziali vengono inviate come tali all'interno del messaggio, mentre nell'autenticazione basata su digest viene inviato un digest di credenziali, nome di dominio e una sfida casuale . L'autenticazione basata su form richiede un canale sicuro (https) per natura.
Perché l'autenticazione basata su form sui browser Web non utilizza invece lo schema digest? O è così la sfida digest non fornirebbe alcuna sicurezza aggiuntiva rispetto all'autenticazione basata su form che richiede comunque TLS?
Inoltre, con l'autenticazione basata su digest, la password di testo semplice deve essere archiviata nel repository del server anziché negli hash. È questo il motivo per cui le credenziali di testo in chiaro (crittografate) sono preferite rispetto al digest sui browser web? In quale contesto lo schema basato su digest sarebbe effettivamente più sicuro del semplice testo su un canale sicuro?