Я думаю, что для вашего обычного трехуровневого веб-приложения секретность имени пользователя и пароля вашей базы данных не слишком важна, поскольку вы можете контролировать безопасность сети. Посмотрите на MongoDB, например, где пароли являются необязательными и поддерживаются не всеми конфигурациями. В любом случае вам необходимо настроить сервер баз данных так, чтобы он принимал соединения только с ваших собственных серверов приложений.
У вас есть несколько учетных записей (с соответствующими разрешениями), в основном для защиты от несчастных случаев, а не для того, чтобы отделить людей друг от друга.
Конечные пользователи не могут напрямую подключаться к базе данных.
Таким образом, хранение учетных данных подключения в незашифрованном файле свойств на сервере - это хорошо. Если кто-то попадает на сервер, у вас все равно проблемы.
Хотя лучше хранить этот файл вне исходного хранилища.