In wie fern ist ein Server sicherer als eine lokale Datei? Ein Angreifer könnte doch genauso auf den Server zugreifen wie das Programm.
Der Server kann aber für jeden request ein neues PW erzeugen, wenn Du das eine die gerade er-debugged hast, beim nächsten call ist es schon wieder ein anderes...
App hat public Key - Server hat privat Key und erzeugt einen neues Session PW.
Sicherlich ist die Speicherung eins Passwortes im Klartext schlecht, aber da die App ja irgendwann mal das PW verwenden muss, ist der Breakpoint genau an dieser Stelle.
Verschleierung ist keine Verschlüsselung - eine gute Verschleierung wieder steht natürlich einem "einfachen in die Exe schauen", aber nicht dem disassemblier Profi.
Mavarik