Colocar senha em arquivo e retirar senhas

Bom, se você PRECISA guardar em arquivo, você pode criptografá=-lo \o/

http://java.sun.com/j2se/1.4.2/docs/guide/security/jce/JCERefGuide.html

E teve uma discussão boa sobre o assunto aqui no fórum, dá uma procurada ( ‘pesquisar’ ali em cima ).

Se voce precisa de forma segura, não guarde em um arquivo.
Se conecte usando outro método de autenticação que não seja plaintext passwords.

O mais simples nesse caso é implementar um esquema de challenge, que daria o mínimo de segurança, mas muito melhor que o plaintext

Desconsiderando a possibilidade de decompilar o software, é rasoável fixar a senha no próprio código num acesso num banco de dados na própria máquina? E em outra máquina? :?

Quanto a transmissao no formato plain text, outra alternativa seria usar algum algoritmo de OTP (one time password). Esses algoritmos consistem em, atraves de uma senha conhecida pelas duas pontas, gerar senhas derivadas, aplicando funcoes irreversiveis.
Por exemplo, o servidor pega a senha do cliente, aplica uma determinada funcoes 5 vezes e informa ao cliente que deseja a senha com a funcao aplicada 5 vezes. O Cliente entao faz o mesmo processo e manda o resultado obtido ao servidor. O servidor entao compara e valida o login.
Na proxima vez que o cliente tentar logar, o servidor ja nao pede mais para aplicar a funcao 5 vezes, mas sim, 6 vezes. Desta forma se alguem viu a senha no protocolo , nao adianta nada, pois no proximo login ela ja nao eh mais valida.
Vale ressaltar que a OTP nao protege contra HIJACK de conexao, ou mesmo um DNS Spoof. Mas mesmo assim, a tecnica pode ser interessante em muitos casos