si estás en un https, no te hace falta encriptar la contraseña para que viaje segura. Eso ya lo hace SSL por tí. Si lo que quieres es que no viaje desencriptada estando o no sobre SSL, la tienes que encriptar en el cliente antes de mandarla, es decir, en javascript. Y para eso me da la sensación de que el código debe de estar en el cliente "por pelotas". Si quieres puedes buscar "ofuscadores" de código javascript, pero a mi no me convencen demasiado.