En este tópic http://www.forosdelweb.com/f21/conviene-usar-1-2-indices-274106/ le dais de pasada a javier82 algunos consejos sobre guardar passwords.

Es decir, si yo tengo una página o aplicación web, que tiene registro de usuarios, recomendáis guardar las passwords no directamente.

Así, se aconseja:

"en mysql se usa la función password() o MD5(). "

¿Qué se usa en SQL Server? ¿Sería incluir esa función en la aplicación web, dentro del código ASP?

PD: creo que si uno puede acceder tanto a la base de datos como para ver los passwords, puede acceder ya a cualquier parte de la base de datos (luego le dará igual que no tenga los passwords verdaderos). Dependiendo de la aplicación, poco uso le podría dar a saber los passwords de verdad cuando ya es capaz de entrar (y tal vez manipular) en la base de datos.