Ключевое слово для дальнейшего поиска решения - обфускация.
Бессмысленно что то делать с паролем, если декодировав исходники можно будет понять как он расшифровывается или просто посмотреть в отладчике место в коде где он используется. Если пароль отсылается в запросе по сети, то иногда достаточно этот запрос подсмотреть, а https шифрование обойти подменой сертификата.
Советы:
- не использовать внешние подключаемые библиотеки для шифрования и отправки запроса, так как их тупо можно подменить на свои
- нетипичный алгоритм шифрования строк хранения пароля комиссии стоимость взлома
- активно запутывай код, есть коммерческие системы обфускации, или каскадная виртуализация (когда твоя программа это что то типа интерпретатора, или виртуальной машины, исполняющей итоговый код, чем менее стандартный он будет тем дороже взлом)
P.s. подумай, такая борьба с ветреными мельницами может оказаться сложнее чем запилить сервис посредника
