При попытке защитить пароль возникает проблема курицы и яйца. Когфиг - единственный файл, превращающий чистую инсталляцию в конфигурированную. И как его защищать? Даосуке Аояма в коммите 1285 предложил достаточно изящное на мой взгляд решение. Конфиг шифруется (и расшифровывается) текущим админсмким паролем. Если вы его знаете - вы и так имеете доступ ко всему. Если не знаете - то и не узнаете, даже имея зашифрованный файл конфига.

Видна вновь появившаяся (и стоящая по умолчанию) галка на "Enable enscription". Хорошо, что её можно снять для тех, кто использует nas дома и в опции не нуждается.
Видно также красное предупреждение в случае использования пароля по-умолчанию. И в самом деле - шифровать с паролем по умолчанию толку немного.
Из кода видно, что шифруют по AES 256 Cipher-block chaining (encrypt_aes256cbc)