L'unico scopo di SSL è quello di impedire che l'Uomo nel mezzo accada. Non avere SSL / TLS significa semplicemente che non puoi avere:
Inoltre, la password è solo un token utilizzato per l'autenticazione, non è necessario avere la password effettiva se il token di accesso è l'hash. Puoi eseguire un attacco ripetitore / replay se riesci a fiutare l'hash dalla rete e fornirlo alla tua applicazione per autenticare il tuo servizio.
Un esempio per un simile attacco può essere trovato in Windows. Si chiama attacco pass-the-hash .