Enviar por HTTPS já protege de Man in the Middle. Mas não fique usando a senha plain como authenticação em todos os pontos da api. Envie a senha apenas uma vez e faça o servidor retornar um token, com periodo de expiração que faça sentido para sua aplicação, e use ele para authenticar nos outros pontos.
Veja também formas de se proteger de XSS e CRFS.