同事弄了这么一套东西来存密码，安全吗？应该怎么教育他？

他自己的密码，写了个小程序来记录，放在公网服务器上，明文储存，然后他可以登录上去用关键字搜索网站名来查询相应的密码，就是他个人记录用

这台公网服务器仅开放对固定客户端访问权限（所有端口），他自己编造了一个域名，通过在客户端绑host来访问该服务器的https，https是他做的一个自签证书

也就是必须是固定IP的客户端，并且该客户端绑定了的host后，用“只有他知道”的特殊域名访问https，然后输入一个密码后，才能访问到他这套东西。服务器上除了这套东西外没其他任何应用。

我总感觉不太安全，
我跟他说：“怎么能明文储存密码？”
他说：“我自己的密码方便我记，要显示出明文给我，再说服务器别的IP也访问不了”
我说：“你用自签证书，中间人攻击偷你密码妥妥的”
他说：“我用的这个域名是我乱编的，就我自己用，没人知道”
我说：“你笔记本丢了怎么办？”
他说：“笔记本丢了他没法用固定IP上，即使通过浏览器记录进去，他也不知道进入程序的登录密码”

我又想了半天但是在说不出漏洞在哪，各位帮忙想想他这样做隐患在哪？