Szerintem nem túl elrugaszkodott dolog egy DESKTOP-os alkalmazásnál feltételezni, hogy a userek meg vannak különböztetve adatbázis oldalon is.
Mysql-t nem tudom, de mssql-nél alap az SSPI, azaz a domain accountjával, connection stringben tárolt jelszó nélkül authentikál az adatbázis felé és a probléma nem is értelmezhető.
De, ha api-t teszel a desktop alkalmazás és az adatbázis közé, ott hogy authentikálja magát a user az api felé és mindezt hol tárolja az alkalmazás? Az nem ugyanaz a progléma?
Ha nem tárolja, mert bekéri a nevet-jelszót, azt pont ugyanúgy bekérheti az adatbázis kapcsolathoz is.