En el caso que prefieras conectarte de forma nativa "native", el usuario y password de Firebird se almacenan en la base de datos security.fdb o security2.fdb (Según sea el caso), pero por seguridad esta base de datos no puede ser accedida directamente...
En el caso del Windows Authenticate, pues Firebird solo verifica si el usuario que se autenticó en Windows es de "confianza" (Si esta dentro del dominio o si es administrador) y si esta creado en firebird, pues lo deja continuar.
Ese tema no debe afectarte por el hecho de que trabajes con dbexpress, ya que es un tema que le concierne tanto a la base de datos, como al sistema operativo... la decisión de trabajar de una u otra forma es solo tuya y puedes configurar dicho aspecto en el archivo firebird.conf, mas exactamente en su parámetro
Authenticate .