Mira lo que pasa es que estas comparando direcamente password=0

entonces como NO le indicas que 0 es CADENA pues si cumple la condicion... pues cualquier char pasado a DECIMAL es 0, sino prueba con esta consulta:

SELECT CONVERT(password,DECIMAL ) FROM users

saludos. y buena observacion :)

PD.: Fuente