Пароль на сервер приходит в основном в открытом виде, можно конечно и на клиенте его перегнать в какой-нибудь sha512, но смысла в этом не очень много, оно скроет пароль в открытом виде от перехватчика, но от получения доступа не спасет. Https - единственный и самый лучший способ защиты от перехвата.