May12,

При такой постановке вопроса лучше отказаться от паролей и использовать integrated security, например.
Если нужна защита от дурака, то да, можно шифровать\дешифровать пароль. Но при желании это ломается на раз.
Поэтому лучше объяснить ситуацию, как так получается что у вас злоумышленник имеет доступ к конфигу проекта (серверного?), но при этом не имеет права к на доступ к БД?
Трудно дать точный ответ, не понимая какая именно проблема решается.

May12,

Ну используйте jasypt тогда. Только начальника предупредите, что если кому-то нужен будет пароль, то такой подход к защите его не остановит ну вообще никак.

May12Blazkowicz, а как Вы защищаете данные (в данном случае) логины/пароли от баз которые, возможно, также храните в properties файлах?
Вы задаёте много вопросов, не указывая вашей специфики.
Пароль к базе данных храниться в конфигурации DataSource JEE контейнера. Его знает только админ сервера и контейнера.

May12у меня встроенный tomcat, jar собирается spring-boot'ом. Т.е. в датасорсах JEE контейнера ничего не прописываю.
Хорошо. Что вы потом делаете со своим встроенным томкатом? Это коробочный продукт? Внутрикорпоративный? Многопользовательский?
От кого именно вы прячете пароль? От других разработчиков? От пользователей? От админов?

http://blog.jerryorr.com/2012/05/secure-password-storage-lots-of-donts.html
http://stackoverflow.com/questions/7017688/what-is-the-best-practice-for-securely-storing-passwords-in-java

Стандартных подхода только два
1) Найти способ не хранить пароль вообще. Можно ходить в БД через текущего пользователя\kerberos. Остальное заботы админа.
2) Использовать для аутентификации сертификаты. SSL аутентификация вполне стандартная штука.