Ja wahrscheinlich ist das damit gemeint.
Daher legt man solche Passwörter als verschlüsselte String-Konstante im Code ab und entschlüssele sie bei Bedarf zur Laufzeit.
Zumindest mache ich das so. Denn selbst vorbelegte Variablen lassen sich u.U. aus der .Exe extrahieren.

Aber auch FTP-seitig macht es Sinn, dem Benutzer nicht mehr Rechte einzuräumen, als er tatsächlich benötigt.