Rails :Безопасен ли гем devise?

У меня есть аутентификация в моем веб-приложении, работающем на devise gem. Мне было интересно, безопасно ли это. Да, он хранит пароли в виде хэшей в базе данных, использует зашифрованные токены после входа в систему и т. д. Но как насчет начальной фазы входа в систему? Отправляет ли он пароль пользователя в незашифрованном виде по воздуху (У меня нет SSL )? Может ли клиент зашифровать его с помощью определенного открытого ключа, который может расшифровать только сервер? Или SSL единственный способ зашифровать пароль пользователя?

Спасибо!