passwörter gehören einfach nicht in eine Exe. Wie du selbst schon bemerkt hast kann man das mit Disassemblern und Debugern trotzdem rausfinden. Anstelle des FTP-Protokolls könntest du einfach die Daten zum Beispiel an ein PHP-Script senden welches die Daten dann ablegt. So hat der nutzer nicht kompletten Zugriff auf deinen kompletten FTP-Server sondern kann eben nur Dateien hochladen.

Ich bräuchte mir nichtmal die Arbeit des Debuggens machen. Ich würde einfach schauen zu welchem Server du verbindest. Dann würde ich mein Nameserver so konfigurieren das du zu meinem Server verbindest, und mit einfach anzeigen lassen mit welchem Passwort du versucht hast dich einzuloggen.