Ademas puedes "encriptar" el password desde antes de que salga de la pagina, por decir algo con javascript, así los datos que viajan no contienen el password como tal, sino su md5 (que tambien existe en JS)