No, no es eso. El proceso sería el siguiente:

- Mediane un formulario el usuario mete su clave y su contraseña.
- Antes de enviar los datos, y por medio de JavaScript, la contraseña se encripta.
- La contraseña viaja encriptada hasta el servidor.
- Allí, se consulta a la BDD y se comprueba si la contraseña encriptada es igual a la que se acaba de recibir.

Claro que éste sistema es vulnerable, si alguien intercepta los datos tiene el hash (la contraseña encriptada), no podría acceder con ella al formulario, pero podría inyectar un paquete http con esa cadena encriptada....

Esto podrías evitarlo usando sesiones en tu script, por ejemplo. Y atinando un poco más la comprobación de donde vengan los datos, etc...

De todos modos, ten en cuenta que en la práctica no suele ser muy normal que se intercepte el tráfico HTTP de alguien, aunque nunca está de más ser algo paranoico.