Честно говоря, я не ставил перед собой такую задачу)

Вообще все очень просто, берете какую нить реализацию стойкой хеш функции на JavaScript, при submit формы, хешируете введенный пароль и отправляете его в таком виде на сервер.

На сервере уже совершаете остальные хеширования, проверки и прочее.

А по подробнее могли бы написать про реализацию всех этих функции с шифрованием пароля и передачу их на сервер и расшифровку?

Ну честно говоря, я не сталкивался еще ни разу с такой реализацией, где бы на стороне клиента вычислялся хеш со всеми солями (т.е. идентичный хешу хранящемуся в базе). Но конечно, если захотеть то из всех возможных реализаций авторизации можно выбрать самую неправильную и неудачную, т.е. эту).

Как правило, хеш вычисляется уже на стороне сервера, т.е. пароль на сервер передается в открытом виде. Но, конечно, существуют реализации без передачи открытого пароля по каналу. Я бы это делал следующим образом.

Вид хеша хранящегося в базе:
func(func(PASS, SALT_PUBLIC), SALT_USER, SALT_GLOBAL)

На стороне клиента на основе пароля генерируем:
func(PASS, SALT_PUBLIC)
и полученный хеш (назовем его HASH) передаем на сервер, где «дохешируем» его
func(HASH, SALT_USER, SALT_GLOBAL)
и сравниваем с хранящимся в базе.

Это в общем виде конечно. Нужно посидеть и подумать как сделать лучше и правильнее. Но общий смысл понятен. В результате — клиенту не известны ни алгоритм, ни общая соль, ничего, так же мы не передаем открытый пароль по каналу. В общем одни плюсы.

На хабре всех минусуют)

Спамер :D
Впринципе у меня почти все тоже самое, только более полно. Хотя идея насчет отдельного модуля к веб серверу неплоха. Но на хабре меня заминусовали за подобную идею…

Там ещё в комментариях развернули интересную дискуссию на эту тему.