Cita: Gracias, ¿pero eso no lo capturarán igual que un md5 o un sha256?
Tienes toda la razon.
En cualquier cosa MD5 y SHA256 son metodos de encriptacion asimetrica. Es decir, que no de pueden desencriptar. No son lo mismo ni se utilizan para lo mismo que AES.
Necesitas evitar entonces el ManInTheMiddle.
En ese caso necesitas si o si algo que encripte la conexion punto a punto a nivel de protocolo. Es decir, que necesitas SSL o TLS.
Hacer la conexion SSL no cuesta dinero. Lo que cuesta dinero es el certificado, que sirve para que el navegador no te de avisos.
Si quieres evitar tu problema, tendras que pagar o bien asumir el riesgo. Ten en cuenta que el 99% del las paginas web envian el usuario y contrasena sin una conexion ssl (por ejemplo este foro). Realmente es tan critica la informacion de tu sitio?
En cualquier caso hoy en dia puedes conseguir un certificado bastante barato:
https://www.namecheap.com/security/s...alidation.aspx
Un saludo