Se sei lo sviluppatore del sistema, è un modello insicuro. La password deve essere salata e sottoposta a hashing sul lato client, quindi eseguire nuovamente l'hashing con un nonce fornito dal server e quell'hash ha controllato sul server.
La macchina client dovrebbe anche essere controllata prima di controllare la password. Se l'IP non è statico, può essere fatto con i certificati.
La password inserita dall'utente non deve essere usata come qualcosa di diverso da una password, non come una chiave (usa un KDF), non come una variabile d'ambiente, né memorizzata più a lungo di quanto impieghi per cancellarla. Altri segreti dovrebbero essere derivati in modo irreversibile da esso e da altri valori.
Se non sei lo sviluppatore e sei stato forzato in questo modello da un'applicazione, sembra che tu stia cercando un gestore di password di archiviazione locale come LastPass.