Я не думаю, что вы могли бы встроить такой пароль в сторонний API напрямую в приложение exe или что-то, что вы даете пользователям и чувствуете себя в безопасности. Даже зашифрованный файл конфигурации должен быть расшифрован в какой-то момент.
При этом вы, как правило, создаете свой собственный API на своем собственном сервере и имеете промежуточное ПО, где ваши секретные ключи могут храниться только на вашем сервере. Потому что, как вы собираетесь изменить пароль, если вам нужно изменить его? Если у вас есть промежуточное программное обеспечение API, вы можете изменить этот пароль, и конечные пользователи вашего API смогут входить в систему с любой схемой аутентификации, которую вы используете для них. Когда этот сторонний api представит критические изменения, приложение, которое вы поставите, сломается, и вам придется обновить все установки, если у вас есть промежуточное ПО, вы можете исправить в промежуточном ПО.