Der Grundgedanke dahinter wird wohl sein dass das Passwort nicht unnötigerweise in Klartext irgendwo im Speicher steht von wo es ein böser Mensch evtl auslesen kann.
Genau so ist es! Die
API forciert diese Sicherheit nicht, bietet sie aber an. Natürlich muss das auch an allen Stellen verwendet werden. Es macht eben keinen Sinn die Haustür zu verriegeln wenn die Terrassentür offen bleibt. Insofern definiert immer das schwächste Glied den Grad der Sicherheit.