Gehasht funktioniert nicht, denn er muss das Password ja an den Server weitergeben.

@Andreas13: Bringt unterm Strich auch nicht viel. Ich kann mich ohne Probleme mit nem Debugger dranhängen und nach dem Entschlüsseln einfach in den Speicher schauen was da steht.
Letztendlich ist die einzig wahre Lösung, dass der Benutzer die Daten eingeben muss - was aber natürlich je nach Fall nicht wirklich sinnvoll ist. In so einem Fall kann man unterm Strich nicht verhindern dass sich jemand die Daten aus der Exe schnappt.

Theoretisch kann der Benutzer natürlich auch nicht das eigentliche Password eingeben sondern eines, das zum Entschlüsseln dieses Passwords verwendet wird. Dann muss man zumindest das Password des Benutzers kennen, um mit dem Debugger an das eigentlich Password zu kommen.

Aber ob das wirklich so viel besser ist? Kommt halt auf das Szenario an.

Wer an das Passwort will, kommt dran und bekommt es auch im Klartext. Über sowas würde ich mir gar nicht erst den Kopf zerbrechen. Den ultimativen Schutz gibt es nicht und wenn doch, wird er Millionen von Euros kosten.

Könnte man die REST-Schnittstele erweitern, bzw. ergänzen ?
So das z.B. mit festem Passwort kommt man nur auf eine Authorisierungs-Seite,
und von da kannst du z.B. Zertifikate, Token, etc. austauschen ?

Erst im 2. Schritt kommt man dann auf die richtige REST-Schittstelle.

Das könntest du deine Sicherheits-Stufe nach Belieben selber bestimmen (2FA, OAuth, etc.).