Habe ich oben doch schon gesagt -> es wird unverschlüsselt übertragen !!
Dies trifft auf normales FTP oder auch Basic Authentications bei Proxies und HTTP Servern zu. Die Anwendung einer Hashfunktion macht es nicht besser.

Und weil das Passwort unverschlüsselt zur Übertragung benötigt wird muß es auch unverschlüsselt im Speicher liegen und als Parameter übergeben werden. Somit hat es gar keinen Sinn sich Gedanken zu machen es sicher und verschlüsselt im Speicher abzulegen, da es zum entsprechenden Zeitpunkt eh immer ungeschützt sein wird.

Anders sieht es bei FTPS oder sogar SRP -> Secure Remote Password/Protokoll aus. Diese Verfahren arbeiten nach ganz ganz anderen Techniken. Nur zu einem ganz ganz kurzen Zeitpunk wird das reale Passwort benötigt. Mit diesem werden dann die relevanten Daten berechnet, und danach kann das Passwort sofort zerstört werden (im Speicher). Die damit erzeugten Daten sind dann für den Server ein "Beweis" dafür das der "Client" das eigentliche Passwort kennt. D.h. es wird nicht mehr das Passwort übertragen, sondern nur zu zufällig vorgegebenen Daten eine "Prüfsumme" die nur derjenige erzeugen kann der das Passwort kennt. Mit diesen Daten kann man sich NUR zum aktuellen Zeitpunkt am Server einloggen. Somit nützt ein Angriff hier garnichts, da beim nächsten Login wieder ganz andere Daten benutzt werden. Soweit erst mal ganz ganz vereinfacht dargestellt

Gruß Hagen