DefaultPasswordHasher を use して _setPassword を記述します。
patchEntity した段階で暗号化されるようです。
src\Model\Entity\User.php
<?php namespace App\Model\Entity; use Cake\Auth\DefaultPasswordHasher; use Cake\ORM\Entity; class User extends Entity { protected $_accessible = [ '*' => true, 'id' => false ]; protected $_hidden = [ 'password' ]; protected function _setPassword($password) { return (new DefaultPasswordHasher)->hash($password); } }