U kunt het standaardgedrag op schemadefinitieniveau wijzigen met de select attribuut van het veld:
password: { type: String, select: false }
Dan kun je het naar behoefte inhalen in find en populate oproepen via veldselectie als '+password' . Bijvoorbeeld:
Users.findOne({_id: id}).select('+password').exec(...);