Вам необходимо разработать свою модель угрозы. Общепринято, что любой, у кого есть физический доступ к вашему оборудованию, мотивация и достаточное время , сможет подорвать что угодно. Это удваивается, если злоумышленник оказывается администратором на сервере.
И да, все, что есть в вашем коде, доступно для чтения с правами администратора. Вы можете попробовать хитрые трюки, такие как шифрование или запутывание пароля, хранящегося в двоичных файлах / файлах JAR, но это препятствие, а не абсолютный барьер.
Опять же, с другой стороны, нет никаких абсолютных барьеров для конфиденциальности, просто более или менее эффективные препятствия. Независимо от ваших мер, от силы вашего шифрования и управления ключами, с достаточным количеством времени и стимулов, все что угодно даст. Что возвращает нас к моему первому пункту: какова ваша модель угроз (от каких атак вы хотите защищаться); сколько стоят ваши защищенные активы; а кому и чему ты доверяешь?