es posible obviamente tambien hacerlo de esa forma, pero va a depende tambien de la seguridad que vayas a manejar y el tipo de autenticacion que necesites, no solo se colocan las cosas por ser mas sencillas sino tienen su razon tambien

p.d. por cierto, no se debe usar al usuario "sa" en las aplicaciones, debes tener una cuenta con ciertos privilegios para cada aplicacion y base de datos por cuestiones de seguridad, el rol del "sa" precisamente es para administrar la base de datos no para qure forme parte de parámetro en una cadena de conexion en una aplicacion.

Salu2