HTTPS защищает от "вынюхивания" IP-пакетов, делая очень трудной расшифровку передаваемых данных. Но эти пакеты можно перехватывать только при наличии доступа к машрутизаторам или кабелям, или в локальной сети, если она плохо сделана, или с помощью специальной аппаратуры для ловли WiFi трафика, т.е., просто так, сидя за обычным компьютером, ничего чужого не перехватишь даже и без HTTPS.
Есть ситуация, в которой легко перехватывать пароли. Когда посетитель пользуется прокси-сервером (например, VPN, Tor), владелец этого прокси-сервера получает чужие данные. Конечно, таких посетителей мало.
