Ambas son igual de inseguras si el usuario es root, si no lo es son igual de seguras, porque se almacenan en la parte privada de la app en data/data.
De todas formas no es correcto almacenar el usuario y contraseña en la app, lo correcto es almacenar un Token de Sesión y un Token de Renovación, usar el Token de Sesión mientras dure y cuando caduque usar el de Renovación para solicitar nuevos Tokens.
![](https://www.htcmania.com/images/quote/q2.gif)