Como bien te han dicho necesitas HTTPS, para que los datos se envien cifrados.

Un dato aparte, si usas HTTPS se recomienda deshabilitar la comprensión web por parte del servidor. Existe recientemente un fallo de seguridad con https y comprensión web, aunque no se conocen casos aun de hackeos a partir de esta falla.