Сохраните их как общие настройки. По умолчанию они закрыты, а другие приложения не могут получить к ним доступ. На корневых устройствах, если пользователь явно разрешает доступ к некоторому приложению, которое пытается их прочитать, приложение может использовать их, но вы не можете защитить их. Что касается шифрования, вам нужно либо потребовать от пользователя вводить кодовую фразу для дешифрования каждый раз (таким образом, преследуя цель кэширования учетных данных), либо сохранить ключ в файл, и вы получите ту же проблему.
Есть несколько преимуществ хранения токенов вместо фактического имени пользователя: