Здається DTO - об'єкт як структура даних, використовується просто для передачі даних/полів до/з DB.
Незрозуміла ні бізнес логіка (чому об'єкт юзер містить поле паролю) ні логіка бази даних(чому немає окремої таблиці юзерів і окремої таблиці паролів). В мене мало досвіду щоб впевнено стверджувати як воно 100% правильно, але мені знається у вас в проекті недосконала архітектура/логіка.
Наприклад : є метод що повертає весь список користувачів(але у вас немає доступу/паролів на все, щоб редагувати всіх користувачів) потім є метод що повертає конкретного користувача(там паролю точно немає) можливо з деталями, потім є метод який повертає за паролем абсолютно все(дає доступ і для зміни паролю ітд..),якщо на пальцях то ви робите ґет запрос де є нетільки ІД користувача але і його пароль, а якщо нормально і по security то я вже не знаю, ніколи не робив, але це наступний крок у вивченні/роботі проекту. Мій пост не готова відповідь а моя думка як вам наблизитись ще декількома але маленькими кроками до реалізіції проекту.