a mi entender no te serviría el encriptar el action ya que de todas maneras no tienes control sobre ese punto, lo tiene el navegador, imagínate, como va a saber el navegador a donde enviar la petición, el acción intentará enviarla a lo que se le esta indicando, lo mejor a mi entender(y no digo que sea lo correcto) es que lo encriptes con javascript y cuando llegue al servidor hacer lo correspondiente para lee el dato, es imposible que puedas tener el control de un equipo por medio del navegador(sin tomar en cuenta las vulnerabilidades de estos), te imaginas, todos pudiéramos manipular el equipo del que queramos siempre y cuando se conecte a internet.
pensando un poco en lo que dices
tu primera posibilidad, "le pueden hacer reingenieria inversa al js", para que hacer eso si se las claves,encriptadas pero tengo el acceso de lo contrario si las desencripto aun cuando las mande como tal en el server no pasarán y no podre loguearme y si desactivo el javascrip no podre loguearme

Segundo posibilidad, el "live HTTP headers" arruina todo, bueno en este punto, el que te quiera arruinar el trabajo lo intentara de muchas formas, intentara romper encriptaciones, inyectar código, intentara robarle las claves a algún usuario, en fin hay demasiadas posibilidades.
es difícil tratar de evitar este tipo de acciones, lo mejor es tratar de cerrar todas las puertas posibles y no solo el de los pass, preocúpate mas por el servidor y que el cliente se ocupe de cuidar sus claves.

espero te sirva mi comentario.

saludos.