Si esto es realmente para Dropbox, no lo hagas. Dropbox tiene una API y OAuth. Utilice el proveedor OAuth de Dropbox para obtener un token de OAuth para el usuario, y puede almacenarlo. No tome, o almacene las credenciales del usuario.
Si es para un servicio que no expone a un proveedor de autorización, y realmente necesita almacenar las credenciales en nombre del usuario, debe hacerlo con mucho cuidado. Preferiblemente, se almacenarán en un servicio separado, y solo las sesiones autenticadas se presentarán en su aplicación principal para reducir el área de superficie de ataque. Las credenciales deben almacenarse en un formato cifrado, y la clave de cifrado debe almacenarse de la forma más segura posible, preferiblemente en un HSM.
Cuando tiene datos tan valiosos como las credenciales de autenticación para servicios de terceros, su deber de cuidado para proteger esos activos es muy, muy alto. La defensa en profundidad será crítica, al igual que limitar el acceso, el registro y el monitoreo, y el modelado detallado de amenazas para comprender el alcance de su superficie de ataque.