Eso es cierto, y la utilización de https creo que es lo mejor, pero si no querés meterte en este tema una alternativa sería encriptar la contraseña en el cliente utilizando javascript.
En http://pajhome.org.uk/crypt/md5/ podes encontrar funciones que hacen esto. Igualmente, esta alternativa no es la mejor, pero es mejor que nada. Saludos.