MC(Management Console)のURLをhttpではなく、下記ナレッジに記載の方法などでhttpsに変更していた場合、DS(Design Studio)からMCに対する通信自体がSSLで暗号化されます。
一方でhttpの場合はDSからMCへの通信自体は平文であり、認証に使用するユーザ名も平文で通信されますが、認証に使用するパスワード情報についてはSHA5(※)で暗号化された状態で通信しております。
※SHA5は、Javaを使用して実装されている暗号化方式であり、以前のSHAアルゴリズムを発展させたものです。SHA-256は、SHA5の一部であるサブバージョンの1つとなります。
<参考ナレッジ>
ブラウザとTomcatの通信をSSL化する方法