Поэтому люди придумали хешировать пароль ещё в JS, перед передачей на сервер. Способ сомнительный, потому что адекватные проекты используют соль при хешировании. Соль хранится на сервере и никто её знать не должен. Лучший вариант это установить TLS-сертификат. В браузере пароль можно будет перехватить, но зачем юзеру перехватывать СВОЙ ЖЕ пароль?)) Стороннее ПО не сможет дешифровать трафик.