Petr M: Kvůli autentizaci se šifrovat nemusí. Šifruje se stejně z jiných důvodů, ale je potřeba počítat s tím, že šifrovaný je jenom komunikační kanál mezi prohlížečem a serverem. Server data z šifrovaného kanálu vybalí a dál pracuje s dešifrovanými daty, takže z pohledu autentizace nestačí spoléhat na šifrování komunikačního kanálu.
Není nutné vymýšlet nové koncepce přihlašování, existující koncepce (např. SCRAM) pokrývají všechny požadavky, které tady byly zmíněné. Problém není v tom, že by se nevědělo jako na to, problém je v tom, že to není na webu standardizováno a prohlížeče to nepodporují. Např. nepotřebujete časovou značku, stačí, aby součástí výzvy byl kus náhodných dat (nonce).