Dass das Passwort nicht verschlüsselt wird ist eigentlich ok. Die Beispiele mit der EC-Karte und dem Pin dazu hinken. Denn ein verschlüsseltes Passwort ist auch nichts anderes als eine EC-Karte mit verschlüsseltem PIN drauf wo zusätzlich der verwendete Verschlüsselungsalgorythmus vermerkt ist.
Wenn Sicherheit oberste Priorität hat ist FTP das falsche Protokoll und Passwörter sollten in keinster Weise gespeichert werden.