Ich rate dir aber, das Script in einer externen Datei abzulegen. (Oder wenigstens die Variablendefinition in eine externe Datei zu tun.) Das erschwert das herausfinden des Passworts, durch ansehen des Quellcodes.

Verhindern kann man's letztendlich aber trotzdem nicht, weil man die JS-Datei leicht im Cache directory des Browsers wiederfindet.

Gibt es denn ueberhaupt irgendeine wirklich sichere password-methode?
Selbst ein CGI, das in irgendeinem cgi-bin steht, kann doch angeschaut werden; wohin der Pfad fuer die password -Datei auch immer gelegt ist.
Das Problem sind hier die Rechte fuer Verzeichnisse auf den Servern.
Aber auch CGI-scripte geben lediglich eine Datei frei oder oeffnen den Weg dorthin.
So richtig griffig ist das alles nicht, obwohl es sicherlich ein um Groessenordnung sichererer Weg als das Ganze in einen Seitenquelltaxt einzubauen ist.

Muetze