Presně moc dobře vím, že odposlechnutá data lze použít k přihlášení, ale jde o to, že nejsou posílána hesla v plaintextu čili jak zde zaznělo je složité je použít k přístupu do jiné služby.
Ono pokud mám možnost poslouchat vaší nešifrovanou komunikaci se serverem, tak je mi úplně jedno jaký typ autentizace se používá. Jak moc to kdo osolil a čím, protože to jsou informace které mám k dispozici z komunikace.
Jidinym resenim je dvoufaktorová autentizace a i zde mam docela velkou sanci se prihlasit.
Myslet si ze pres http lze vytvorit bezpecne prihlasovani je chyba, ale to ja vim a jde mi o ochraneni aspon jinzch sluzeb.
Navic je lepsi nechat dotycneho prihlasit i treba dvofaktorovou autentizaci a pak jednoduse pouzivat aktualni session id nebo tokken :D
p.s.
toto neni navod jak na to