Nella maggior parte dei browser, sì. Ciò accade perché il browser invia il testo della barra degli indirizzi a un servizio di previsione (comunemente Google) per i suggerimenti di ricerca. Alcuni browser (es. Firefox) chiedono prima di fare questo (solo la prima volta).
Quanto è pericoloso questo
Dipende da dove il tuo browser sta inviando questo testo di suggerimento e da come sei paranoico. Ad esempio, Google dovrebbe utilizzare:
https://www.google.com/complete/search?client=chrome&q=%s
E noti che questo utilizza HTTPS, quindi nessun altro sulla rete può vedere la tua password. Non riesco ad immaginare che qualsiasi browser venga configurato per impostazione predefinita per utilizzare un servizio di suggerimento che non utilizza HTTPS, ma in caso affermativo, dovresti preoccuparti che la tua password sia visibile a chiunque ascolti sulla tua rete.
Ma anche con HTTPS, la tua password può sicuramente apparire nei log del server su Google e i dipendenti potrebbero vederla. Detto questo, realisticamente, non c'è molto rischio. Google ha ricevuto un volume troppo alto di richieste per prestare attenzione a qualcuno in particolare, né esiste un modo per sapere che una determinata query è una password. Quindi è molto comprensibile che tu possa passare a un così basso rischio che non vale la pena cambiare la password (anche se è un livello di rischio non nullo). Parlo di Google qui in particolare, ma lo stesso vale anche per gli altri principali motori di ricerca.