0x0c0de, вместо xor используй rc4 + немного математики с введённым ключем от введённого пароля, и до первой купленной\набрученной валидной инфы его не взломают. При этом при малой длине ключа получится достаточно стойкая защита. Но повторюсь - это боян до первой валидной рег инфы.