לפי מה שאני מבין הבעיה היא לא בשמירה של המידע (שאני מניח שהשמירה שלו מאובטחת) אלא שליחתו ל-API חיצוני שלא יכולה להעשות בצורה אחרת פרט ל-POST עם סיסמה חשופה.

המידע מאובטח עד שמישהו מוכיח אחרת :).

אני מניח שהבעיה יכולה להתקיים ב- 2 הצדדים:
אתה אף פעם לא יכול לדעת מי חוץ ממך עוד רואה את הקבצים או השיג גישה למסד הנתונים - ההצפנה הזו מכסה (לא בדיוק, אבל נגיד) מקרים של חדירה למסד הנתונים, קבצי האתר ומערכת הקבצים בשרת.
וכן אי אפשר גם להבטיח שאף אחד לא מאזין למידע שנכנס ויוצא מהשרת - ככה שבמקרים מסויימים שבהם זה כדאי (כמו כאן) רצוי לשלב SSL אם יש תמיכה בכך מצד ספק השירות.

אבל בעניין ה- API עצמו זה כבר ליקוי בשירות שהוא עובד מולו (בהנחה וככה באמת עושים את זה).
השירות צריך לספק איזשהו secret key לכל משתמש שבאמצעותו הוא מזהה אותו, הלקוח לא אמור להתממשק לשירות עם שם המשתמש והסיסמא שלו.