C'est une solution.
Il y en a d'autres.
Par exemple, stocker le mot de passe dans une base de données plutôt que dans un fichier.
C'est plus facile pour gérer les insertions, suppressions, modifications, et sélections.
C'est moins facile de transporter une base de données qu'un fichier, pour une personne malveillante.
Par exemple, ne pas mettre les données de connexion à proximité du mot de passe
parce que la fréquence de changement du mot de passe est différente de celle des données de connexion,
et que d'une manière générale en informatique, il faut dissocier les données qui ont des durées différentes.
Prévoir une fonction de réinitialisation d'un mot de passe par un administrateur.
Penser à ce qu'une personne malveillante ne puisse pas demander un changement de mot de passe
pour avoir accès au compte. Souvent, on a un système de validation par un mail.
Restreindre les connexions multiples simultanées pour un seul utilisateur.
Il est vrai qu'une personne pourrait être connectée à la fois sur son ordinateur et sur son téléphone portable,
mais il faut voir si c'est souhaitable de permettre ces deux connexions en même temps.
S'il y a plus de deux connexions, cela arrive par exemple quand une personne a donné son identifiant
et son mot de passe à quelqu'un d'autre, ce qui peut être un comportement acceptable ou pas.
Prévoir une déconnexion au bout d'un certain temps.