Hi Henk,

Jeder, der den verschlüsselten String "aus dem Netz fischt",
kann ihn auch weiterhin dazu benutzen, sich am Server anzumelden,
auch, wenn ihm Username und Passwort unbekannt sind...

... wenn er weiß, wie er das machen muß.

Mit einem Browser geht das zunächst mal nicht. Dafür müßte er schon
ein eigenes Programm verwenden.

Danach wäre ein solches login nicht sicherer als z.B. die Übertragung
des Usernamen und Passwortes im Klartext mit POST.

Das natürlich schon (siehe oben).
Und auch die fehlende Rückübersetzung ist ein gewisser Schutz - vor
allem, wenn der Besitzer des Kennwortes dazu neigt, selbiges für
verschiedene Zwecke zu verwenden.

Mache ich da irgendeinen Denkfehler?

Sobald ich einen client habe, der diesen HTTP-Header direkt senden
kann, gebe ich Dir erst mal recht.
Gegen Lauschangriffe helfen Passwörter mit eingebautem Verfallsdatum
sicherlich mehr.

Viele Grüße
      Michael