Usando un txt si pone lo stesso problema.
Con la password nel codice Actionscript decompilando il file la si legge direttamente, ma anche da un file txt esterno basta decompilare l'swf, leggere il nome del file .txt e andarlo a vedere, per cui la soluzione è insicura.
La soluzione migliore per la sicurezza come ha detto crescenzo è utilizzare un database e un linguaggio server-side, lasciando a flash solo il compito di fare da "facciata"