А что изменится от того, что перехвачен будет не plain-text пасс, а его хеш? Точно так же залогиниться можно будет. )

Add: А с другой стороны, если хранить, допустим, в базе пассы в виде md5-хеша, то можно генерировать при каждой попытке логина случайую соль и втавлять в хидден-поле страницы авторизации, а на стороне клиента генерировать хеш вида md5(md5(pass).salt)). Потом проверять на сервере...