Desde os recentes problemas com o GitHub e o Twitter:

O GitHub gravou acidentalmente algumas senhas de texto sem formatação em seus logs internosO Twitter admite gravar senhas de texto sem formatação em logs internos, assim como o GitHub

Fiquei me perguntando, por que não é a melhor prática criptografar a senha no cliente e no servidor? Como não alterarei nada que já sejam as melhores práticas para o lado do servidor (salt, hash forte, HTTPS), isso só pode ser mais seguro. O servidor consideraria a senha já com hash como a senha e a usaria novamente antes de armazená-la.

Caso eu registre toda a solicitação quando uma exceção for lançada, se ocorrer uma exceção na solicitação de login / inscrição, nunca obteria acesso à senha de texto sem formatação do usuárioEu sei que se alguém tiver acesso a essas senhas com hash somente do lado do cliente, seja pelo MITM (que muitas empresas fazem em suas redes privadas substituindo os certificados SSL) ou por logs ou por um administrador de servidor mal-intencionado, poderá usá-lo para se autenticar no meu site, mas não teria acesso à senha em texto sem formatação, para nunca comprometer a conta do usuário em outros sites e serviços (mesmo para aqueles que reutilizam suas senhas)