Du könntest das Passwort verschlüsselt von einem Server abrufen und beispielsweise nur kurz im Speicher halten, solange es für die Entschlüsselung erforderlich ist.
In wie fern ist ein Server sicherer als eine lokale Datei? Ein Angreifer könnte doch genauso auf den Server zugreifen wie das Programm.