De esta manera.

Es enviada encriptada a travez de internet y nadie sabra la contraseña original. al llegar al servidor la encriptara de nuevo para que no sea la misma a la que se encuentra en la base de datos y no podran localizar al usuario.

Pero con SSL ademas de que las passwd encriptadas viajan seguras, estaran aun más si logran decifrar el SSL, cosa que es bastante remota.

Envia PassMD5 > SSL > Internet > SSL > Sevidor > md5(sha1()) > Base de Datos.