ну это да, конечно трудно сделать так чтоб пользователь не узнал пароль
но всетаки что то наверное предпринять то можно? Думаю нужно тогда не хранить их во внешних файлах в открытом виде, самое простое это зашить пароли в код. А если пользователь умеет "дизассемблировать" классы :), можно немного усложнить - пароли в файл, его шифровать, потом еще сделать соединение web-server <--> db-server по Net8 over SSL

вроде больше нечего придумать :)