1. Sorry, Google nefungoval (to není tvoje chyba), na „SCRAM“ to nic pořádného nenašlo, je potřeba to rozepsat a hledat „Salted Challenge Response Authentication Mechanism“. Takže jsem to nakonec hodil do jednoho pytle s klasickým CRAMem, který znám (tam se taky používá sůl). Ano, dost povrchní rešerše, dostuduji…
2. Byla to otázka, ne konstatování.
3. Z toho, co jsem zatím stihl přečíst:

Sdílený klíč je odvozený z „nonces“ klienta a serveru a klientského „verifieru“ (hash klientského klíče, který je odvozený z hesla). Klient k němu přiXORuje svůj klíč a pošle na server, který si ho zase odXORuje a pak zahashuje a porovná s „verifierem“. A zatím jsem nepřišel na ten trik, který zajistí obě výhody: a) nestačí ukrást databázi ze serveru, abych se přihlásil jako někdo jiný + b) nestačí odposlechnout komunikaci, abych se mohl přihlásit jako někdo jiný.

Tak prosím popiš protokol pro ověření hesla uloženého ve tvaru HASH(heslo), případně HASH(heslo+sůl), který nebude zahrnovat odesílání hesla (informací dostatečných pro přihlášení) po síti.

Heslo a informace potřebné k přihlášení jsou dvě podstatně odlišné věci. Heslo můžete zneužít pro přihlášení do jiné aplikace, pokud uživatel používá na více místech stejná hesla. Pokud bude mít útočník jen hash osoleného hesla, nepřihlásí se s ním nikam jinam. Že se s tímto údajem přihlásí do původní aplikace situaci moc nezhoršuje, protože to nejspíš mohli předtím.

Nepopíšu jen jsem napsal, že uložené heslo v plaintextu automaticky neznamená, že tak musí lítat po síti - může být například jakkoliv zašifrované (třeba přes pubkey se saltem). Protokol nenavrhnu nad tím nepřemýšlím, bo nemám problém s tím, že heslo dorazí (v tomto případě na server) v plaintextu (o to ti asi jde) a po cestě šlo bezpečně (https, šifrované a pod.). Riziko, že dojde k jeho odcizení/odchycení na cílovém serveru (třeba při jeho kompromitaci, nebo je to úmyslně zneužito), považuji za mizivé a je to věc důvěry, ale ukradené databáze, zálohy, nebo nějaké SQL injection a výcuc DB, se děje neustále (a bude dít) a jakmile jsou hesla přímo přístupná, jsou okamžitě všechna obsažená hesla použitelná. A taky sám nemám rád když vidím cizí hesla, jen k vůli tomu že se musím podívat do nějaké user tabulky.
A hlavně většina těch případů je tak, že právě heslo letí po sítu v plaintextu a současně je v DB uloženo buď v plaintextu nebo nějak lehce získatelně (jako třeba tady schází základní koření) . Takže se nebavíme o způsobu bezpečné autentifikace (je to stále ten stejný způsob odeslání hesla od klienta na server pro server v čitelné podobě).
Např. u WiFi WPA2 ať si to tak klidně je, to heslo je jen jedno a není cizí…