Истину глаголите. Недавно сам столкнулся с тем, что при обновлении ASP11 (делал из дистрибутива самосборный пакет) до 12 под OpenVZ (насчёт версий не уверен), ему вздумалось хранить хэши прямо в /etc/passwd.
Только один тонкий момент - это может быть неблагоразумно, потому, чаще всего, это исключение, нежели правило.