Creo que la coincidencia de contraseñas pertenece a la interfaz del cliente y nunca debería llegar al servidor (la capa DB ya es demasiado). Es mejor para la experiencia del usuario no tener un servidor de ida y vuelta solo para decirle al usuario que 2 cadenas son diferentes.
En cuanto al controlador delgado, el modelo gordo... todas estas balas de plata deberían ser disparadas contra el creador. Ninguna solución es buena en cualquier situación. Piense en cada uno de ellos en su propio contexto.
Traer la idea del modelo pesado aquí, lo hace usar una función (validación de esquema) para un propósito totalmente diferente (coincidencia de contraseña) y hace que su aplicación dependa de la tecnología que está usando ahora. Un día querrás cambiar de tecnología y llegarás a algo sin ninguna validación de esquema... y entonces tendrás que recordar que parte de la funcionalidad de tu aplicación se basa en eso. Y tendrá que volver a moverlo al lado del cliente o al controlador.
