- SERVER-Passwort wird als gesalzener Hash in DB geschrieben
Hier gibt es eine interessanten Überblick zu Hashing von Passwörtern.
tl;dr: Normales Hashing geht zu schnell um sicher zu sein, nutze daher: bcrypt oder PBKDF2.
Wenn du eh SSL nutzt, könntest du auch "einfach" Zertifikate zur Authentifizierung von Client und Server nehmen.
Das Problem das ein Client potenziell immer feindlich ist, wirst du nicht überwinden können.
Wenn es sinnvoll/nötig ist, könntest du serverseitig ein Rechtesystem verwalten um den Schaden gering zu halten.