6. Даже если у пользователя есть троян, который перехватил форму, то перехватить он сможет только $login+$pass, где $pass - хэш.