Lo que dice bakanzipp es cierto. NUNCA pases passwords por GET, es decir tipo:
response.redirect "pagina.asp?Pwd=" & password.
Lo has de pasar mediante POST en un formulario:
<form name="miform" method="POST" action="pagina.asp">
<input type="password" size="10" name="pwd" id="pwd">
blablabla
<input type=submit value="Enviar Datos">
</form>
La única diferencia es que en la página destino, en lugar de utilizar :
pwd = request.querystring("pwd"), deberás usar:
pwd = request.form("pwd")
Se puede usar también request("pwd"), pero no lo recomiento, ya que puedes tener problemas si tienes cookies con el mismo nombre.