Das würde ich so (pseudo-)ano-nym wie möglich halten, also keine Passwörter, nur AccessToken.

Wenn das tatsächlich nur Logindaten sind denke ich auch das ist in einer DB besser aufgehoben, und sicherer als das selbst zu machen.
Du musst am Ende auch nachweisen können das deine Methoden DSGVO konform sind, das ist sicher einfacher basierend auf einem bewährtem System wie eine DB.