Podemos ver o código-fonte do autenticador http no http do apache aqui:
https://svn.apache.org/repos/asf/httpd/httpd/trunk/modules/aaa/mod_auth_basic.c
Na função get_basic_auth()
e em authenticate_basic_users()
podemos ver claramente que a interpretação do arquivo .htaccess acontece em duas etapas:
- obtém a linha do .htaccess descrevendo o usuário real
- calcula o valor de hash da senha fornecida e compara isso com o valor de htaccess.
Se eu interpretar bem o código, no caso de usuários duplicados, apenas a primeira linha terá algum sentido.
É claro que você pode alcançar isso se quiser, mas precisa estender um pouco esse arquivo de origem ou usar outro tipo de autenticação. Por exemplo, uma autenticação em um backend de banco de dados pode ou não ter esse recurso adicional também. Google para "apache authentication ldap" ou algo assim, se desejar.