Hola,

Si usas un .txt, debes ponerlo fuera de los directorios accesibles a traves de internet y si es posible, encriptar las claves. Imaginate que seguro seria tu script si la gente podria ver las claves haciendo www.dominio.com/contrasenas.txt .

Y tampoco deberias hacer una redireccion con javascript. Seria mejor hacerla con PHP y el header("location"), o mejor aun, que el script que valida el usuario y clave descarge el fichero, poniendo las correspondientes cabeceras de content-type y content-disposition.

Saludos.