En ambos
terrenos (online o local), si lo que envías no viaja por un canal cifrado, se pueden obtener los datos de acceso (y demás información) con un simple sniffing.
Te recomiendo instalar un certificado SSL/TLS (los buenos no son gratis, pero son seguros, que es lo que importa). Si estás usando XAMPP te recomiendo este tutorial:
https://mimentevuela.wordpress.com/2...pp-en-windows/ (certificado auto-firmado, local y gratuito).