Po pierwsze to nie powinno się trzymać haseł w aplikacji. Wszelakiego rodzaju plain text, bazy danych nie wchodzą w grę. Powinno się trzymać token generowany przez serwer, jako opcja uwierzytelnienia użytkownika.
Jeśli już koniecznie musisz trzymać hasło w aplikacji, to oprócz zmiany podejścia, aby go jednak nie trzymać, mógłbyś szyfrować hasło, ale jeśli się ktoś uprze to zdekompiluje apke i napisze algorytm deszyfrujący.