Ah, donc je t'ai dit des bétises, c'est bien un objet donc tu l'appelais correctement.
En revanche, tu as du avoir cette erreur parce que ta requête ne retournait pas de résultat donc tu essayais d'accéder à "password" de NULL
Fais un var_dump($user) pour oir
Mais normalement, c'est pour éviter ce genre d'erreur qu'on utilise la boucle while().
En gros elle dit "tant qu'il y a des résultats, tu fais quelque chose" donc si il y a un résultat tu peux accéder à l'objet du coup si pas de résultat pas d'erreur
julp.fr ~ PHP < 8.0.0 : activer les erreurs PDO/SQL ~ PHP < 8.1.0 : activer les erreurs mysqli