Это делается так:
Сервер генерит и передает клиенту строку случайных символов (100 символов будет достаточно). Строка каждый раз должна быть разная и генериться достаточно хорошим генератором случайных чисел. Клиент конкантенирует введенный пароль с этой строкой и полученную строку хеширует алгоритмом SHA или MD5. Полученный хеш передается серверу. Сервер делает то же самое и сравнивает свой результат с полученным от клиента хешем. Если совпало, то пароль введен правильный.
Перехват хеша ничего злоумышленнику ничего не даст, так как он всегда будет разным. Перехват случайной строки тоже ничего не дает злоумышленнику.