Ciao,
regola numero 1, l'utente "admin" non lo chiamare "admin", "administrator", "root" e compagnia. Inventati un nome alternativo.
E' sbagliato infilare la password nel codice... come fai a cambiarla? metti mano ai sorgenti ogni volta?
La password va conservata in formato HASH SALTED nel database.
Per la piattaforma Microsoft .NET, al momento la migliore cosa che puoi utilizzare è PBKDF2 (ho visto implementazioni di Argon2 ma sono di terze parti quindi ti consiglierei la precedente).