Cita:
Iniciado por Carinae2k 
Gracias por la respuesta, pero sigo con dudas (lento de mente que es uno).
Tu consejo es, que en el primer login, que podemos suponer que si es desde una máquina nueva no tenemos la Key privada, usemos el password y el timestamp para generar una cadena encriptada y una vez verificado, ya que tenemos el password en nuestra base de datos, devolver la Key privada y en las siguientes peticiones sí usarla para generar el hash. ¿Lo he entendido bien?
O algo parecido.
Alguna forma para enviar ese pasword encriptado, sin ese MITM (man in the middle) que te preocupa, o en caso de que ocurra, que sean mínimos los daños.
Si envías sólo el pass encriptado, siempre puedo reenviar esa encriptación. La cosa es añadirle un parámetro dinámico, para que si alguien pilla ese hash, no le sirva.
Es lo primero que me viene a la cabeza ;)