平文を流さないパスワード認証

 平文を流さないパスワード認証をやりたい。どれぐらいの方法があるだろうか?
 まずひとつめ、全部SSLで暗号化する。単純、簡単、ただし計算負荷が高い。あと、SSLの証明書が必要。
 ふたつめ、認証ページだけSSLで暗号化する。ちょっと複雑、ただし計算負荷はあまり高くない。SSLの証明書が必要。
 みっつめ、JavaScriptを使ってチャレンジレスポンス認証。ちょっと複雑、計算負荷も余り高くない。しかし生パスワードをサーバ側に保存しておく必要がある。サーバのセキュリティに絶対の自信がない場合は使わない方がいい。
 とりあえず、2つめを検討してみよう。