安全的密码存储和传输

我正在为我的组织开发一个新的用户存储,现在正在处理密码存储。salting、HMAC等概念对我来说都很好,我想存储用户的密码,或者salted and hashed、HMAC hashed,或者HMAC salted and hashed,我不知道最好的方法是什么,但理论上这并不重要,因为如果需要的话,它可以随时间而改变。

我想要一个XML&JSON服务,可以作为客户端应用程序的安全令牌服务。

如果我将密码作为salt散列存储在用户存储区中,则需要向客户机发送该salt,以便在使用唯一会话密钥进行HMACd之前构造正确的散列。这完全违背了一开始就用盐的观点。同样,如果我不使用salt来存储密码,而是使用HMAC,那么问题仍然是一样的。

这仍然使得用户存储易受字典攻击,如果它曾经被访问;不管这种可能性有多小——假设它永远不会发生——对我来说都不太合适。

非常感谢您的意见。