Username e password dovrebbero andare in un database e la password codificata, non in chiaro, così se anche qualcuno dovesse leggerla non gli sarebbe utile.