Hola compañero,
que yo sepa en SQL Server 2000 no existe ningún tipo de datos que represente la información de una tabla en forma de **** o encriptada.

Una posibilidad que puedes utilizar es cambiar el tipo de datos a binary. En realidad no vale para mucho ya que el contenido del campo password no está codificado, sino que se visualiza en código binario (por lo menos el auditor no va a ser que es). Y si a esto le aplicas algún algoritmo de encriptación sencillito por código antes de guardarlo en la base de datos, pues problema resuelto ;)

De todos modos, el kit de la cuestión es, como ya sabrás, que para conectarse al SQL Server es necesario conocer el usuario y password que tienen acceso a la base de datos. Desde una aplicación ASP no es posible conocer esta información, y por tanto, si la seguridad a nivel de usuario para acceder al servidor es la correcta, no va a haber manera de que nadie meta mano a la base de datos. En el fondo fijate que si alguien es capaz de averiguar el password de un usuario entrando al SQL Server, de igual modo podrá acceder a la información almacenada en la misma (datos economicos, ubicación de documentos, etc). Basa la seguridad de tu sistema en tu servidor, no solo en el código ASP. Respecto a los auditores, que seguro no entienden demasiado de informática, diles esto y que se callen.

Salu2 y suerte