As senhas não são armazenadas em texto simples. Se o auditor realmente precisar do arquivo no qual eles estão armazenados, aponte-os para o arquivo master.mdf. Isto é, obviamente, para logins SQL. Para logins do Windows, o SQL nem sabe qual é a senha; O Active Directory lida com a autenticação.