Hola,
En relacion a lo que dices, en general opino igual que los otros comentarios, en algún lugar debe de estar registrada la contraseña para poder validar que el user/pass son los correctos.
Por mi experiencia y hasta donde he alcanzado a comprender te puedo comentar que por ejemplo en el AD la contraseña esta almacenada con cierto nivel de encriptación.
Existen algunas practicas que podrias seguir, te dejo algunos enlaces que te podrian servir:
Cifrando datos con SQL Server 2005 Function to encript password
Saludos