Direkt im Code der Anwendung ist ungünstig wenn das Password später mal geändert werden muss.
Stattdessen kann es z.B. in einer stark verschlüsselten Konfigurationsdatei gespeichert werden.
"For outbound authentication: store passwords outside of the code in a strongly-protected, encrypted configuration file or database that is protected from access by all outsiders, including other local users on the same system. Properly protect the key (...). If you cannot use encryption to protect the file, then make sure that the permissions are as restrictive as possible."
Quelle:
http://cwe.mitre.org/data/definitions/259.html
p.s.:
Das ist wegen der Einschränkung
Lokal beim Benutzer darf/kann nichts gespeichert werden.
auch keine Lösung.