A autenticação usando o método Realm não expõe a senha do usuário, mas eu fiz uns testes e vi que alguns softwares clientes primeiro tentam acessar usando autenticação básica, que já expõe o usuário e senha que é codificado em base64 , então é fácil pegar o usuário e senha e depois usar o método correto.