В зависимости от того, какие биты WS-Security используются, пароль может отсутствовать в сообщении. Там может быть хеш пароля или что-то вроде токена Kerberos.
Если сообщение не передается по безопасному каналу, например, SSH, вы не хотите, чтобы в сообщении содержался пароль.