No, non puoi concludere quello.
La password può essere sottoposta a hashing solo sul lato server, il che implica che la password sia inviata in chiaro al server e memorizzata in una variabile. Quindi, nulla impedisce all'applicazione Web di visualizzare la password inviata all'utente, nel caso in cui lo stesso script che ha ricevuto la password ti dia il feedback sulla modifica della password.
D'altra parte, se un intero altro modulo ti fornisce la password in testo semplice (forse una funzione di recupero della password), potresti concludere che non è con hash.
Modifica: per evitare confusione, in questo caso il "testo normale" non fa riferimento a SSL in alcun modo, suggerisce semplicemente che la password non viene inviata pre-hash al server.