Нашли удивительное решение - Polyline Library
Короткий ответ; Вы не можете. Как только Вы используете имя пользователя/пароль, Вам нужен своего рода безопасный канал.
Однако Вам не нужны сертификаты на клиентах; только на сервере.
На самом деле это возможно, но необходимо будет реализовать собственную привязку.
Yaron Naveh разработал привязку WCF, которая включает имя пользователя/пароль открытого текста по HTTP. Его статья включает код для привязки.