для чего вообще пароли, есть же token
Пользователь же должен как-то первоначально авторизоваться. Вообще говоря, по вопросу не понятно что там к чему. Я подумал про систему аутентификации на сервере. А на стороне клиента да - хранить критические данные плохо. Ну и всякое бывает, тот же кривой апи, как выше говорили.