el tema es que está metiendo el password de un usuario que se encuentra en una tabla en el value de un input type password.

Y es lógico... al ver el código fuente, el password está allí.
Creo que la única solución es encriptar el password al mandarlo al cliente y luego desencriptarlo en el servidor... aunque no se me ocurre ninguna utilidad en devolver el password al cliente. Yo replantearía eso