A maioria dos aplicativos para Android e iPhone que eu já vi usa uma tela ou caixa de diálogo inicial para solicitar credenciais. Eu acho que é complicado para o usuário ter que digitar novamente seu nome / senha com frequência, então armazenar essas informações faz sentido do ponto de vista da usabilidade.
O conselho do ( Android dev guide ) é:
Em geral, recomendamos minimizar a frequência de solicitações de credenciais do usuário - para tornar os ataques de phishing mais visíveis e menos propensos a obter êxito. Em vez disso, use um token de autorização e atualize-o.
Sempre que possível, o nome de usuário e a senha não devem ser armazenados no dispositivo. Em vez disso, execute a autenticação inicial usando o nome de usuário e a senha fornecidos pelo usuário e use um token de autorização específico de serviço de curta duração.
Usar o AccountManger é a melhor opção para armazenar credenciais. O SampleSyncAdapter fornece um exemplo de como usá-lo.
Se isso não for uma opção para você, por algum motivo, você poderá voltar a credenciais persistentes usando o mecanismo Preferências . Outros aplicativos não poderão acessar suas preferências, portanto, as informações do usuário não são facilmente expostas.