Передавать пароль в открытом виде без ssl плохо.
Если нет ssl - нужно подписывать запросы, отправлять хеш( пароль + адрес ресурса + передаваемые данные + уникальный id запроса)
Уникальным id может быть временная метка, id можно записывать или сверять с текущей временной меткой на сервере. Если id запроса повторяется или разница между временной меткой и текущим временем достаточно большая, запрос не обрабатывается. Смысл такой защиты в том, что в случае перехвата запроса злоумышленником, он не сможет выполнить этот запрос снова, даже если подпись(хеш) верна.
https://ru.wikipedia.org/wiki/Nonce
Ну и желательно использовать алгоритмы хеширования sha2
И лучше хранить и использовать не пароль, а генерировать случайный ключ с длиной > 32 и со спецсимволами.