Aparentemente, SSH envía (aunque usando una conexión cifrada) la contraseña de inicio de sesión del cliente al servidor si se utiliza la autenticación de contraseña en lugar de un par de claves públicas y privadas:¿Ssh envía la contraseña a través de la red?
Conozco los métodos utilizados porAutenticación de acceso HTTP Digest, por ejemplo, y me pregunto por qué no se utiliza algo como esto en lugar de enviar la contraseña.