Можете да промените поведението по подразбиране на ниво дефиниция на схема, като използвате select атрибут на полето:
password: { type: String, select: false }
След това можете да го изтеглите според нуждите в find и populate повиквания чрез избор на поле като '+password' . Например:
Users.findOne({_id: id}).select('+password').exec(...);
