Si vas a guardar archivos con tus contraseñas "planas o encritadas" en tu sitio (hosting) .. lo ideal es que el archivo en sí de "contraseñas/usuario" lo dejes FUERA del "DOCUMENT_ROOT" . .es decir; si tienes el típico "public_html" (directorio) y directorio por encima de el .. sube tu "password.txt" a un directorio que esté fuerea del alcance de "public_html" que equivale a: todo lo que pongas ahí será accedido por http://www.tal.tal/password.txt y .. dependiendo de que si usas MD5() u otro sistema de encriptación lo veran mas claro o no tan claro. A su vez eso lo puedes acompañar de un .htacces (si tu hosting te lo permite) para limitar el acceso a ciertos archivos desde el URL.

En cuanto a PHP tan sólo tendrías que indicar la ruta absoluta al archivo para abrirlo en tu fopen() o file() o funciones que uses y PHP lo leerá sin problemas.

Un saludo,