Bueno, voy también a opinar yo, no se si para ayudar o para confundir mas
Lo primero, si tienes preocupación por la seguridad por que no utilizas simplemente
https en vez de http, todo los datos irán cifrados, se acabo el preocuparse de quien esta mirando. En cuanto a lo de mandar la contraseña cifrada o en claro, el cifrar la contraseña no nos proporciona ninguna seguridad extra, si alguien llega a tener acceso a los datos y puede leer el md5 eso es todo lo que necesita, porque siempre es el mismo, cuando quiera utilizar la api solo tiene que usar el mismo hash no tiene porque conocer la contraseña.
Creo recordar que sistemas como el messenger utilizan un sistema de identificación basado en md5 bastante seguro, cuando un cliente se conecta al servidor este le manda un numero aleatorio, entonces el cliente genera el md5 a partir de la contraseña y ese numero. Cuando el servidor recibe el md5, hace lo mismo, utiliza la contraseña original y el numero que genero y también calcula su md5, entonces compara ambos hash. Esto llevado a tu caso puede ser bastante complicado de implementar, y por lo menos implicaría el tener que usar 2 peticiones consecutiva, una para obtener el número aleatorio y otra para mandar la petición con la contraseña cifrada. Bueno, ahí te queda la idea ....
En cuanto a lo de la API-KEY puede ser buena idea, te comento que en flickr te la dan solo con estar registrado y decir que quieres hacer una aplicación. Tiene toda la pinta de ser el hash de algo, pero para el caso nos da igual, puede ser una cadena de texto aleatoria. Yo lo que creo es que simplemente almacenan las keys en una tabla de la base de datos y eso les sirve para validarlas o llevar la cuenta de las peticiones que realizan. Así que nos daría igual que fueran aleatorias. Yo el fallo mas grande que le veo a ese sistema, es que cualquiera puede "robarle" la contraseña a una aplicación y usarla en la suya, ya sea revisando el ejecutable o espiando la comunicación. Pero los de google o flickr tendrán sus razones y yo humilde diletante no les voy a decir como tienen que hacer las cosas
