Todo depende del nivel de seguridad que tengas implementado.
Como bien te han explicado, si almacenas en una BBDD user y pass es para varios usuarios y demás, pero tocante a seguridad dependerá dónde está ubicada esa base de datos, es decir, si la tienes en local y el acceso a ellas es pública y sin contraseña para acceder a los datos pues.... más si usas el almacenamiento en BBDD y almacenas las password en texto plano, volveríamos a lo mismo.
Si la pones en el código, ya sabes que no podrás hacer ninguna modificación con esos datos.
Así que la elección es tuya, aunque yo te recomendaría BBDD con las password hasheadas y/o cifradas mediante alguna función.
Espero haberte aclarado algo más tus dudas.
Un saludo.
Jesús D. Angosto
PD: si te valió la respuesta, márcala como respuesta propuesta y vótame :)
