Gem ikke adgangskoder. Hvis det nogensinde sidder på en disk, kan det blive stjålet. Gem i stedet hashes til adgangskode. Brug den rigtige hashingalgoritme , ligesom bcrypt (som inkluderer et salt).
REDIGER :OP har svaret, at han forstår ovenstående spørgsmål.
Der er ingen grund til at gemme adgangskoden i en fysisk anden tabel end login. Hvis en databasetabel er kompromitteret, er det ikke et stort spring at få adgang til en anden tabel i den samme database.
Hvis du er tilstrækkeligt bekymret over sikkerhed og dybdegående sikkerhed, kan du overveje at gemme brugeroplysningerne i et helt adskilt datalager fra dine domænedata. En fremgangsmåde, der almindeligvis gøres, er at gemme legitimationsoplysninger i en LDAP-katalogserver. Dette kan også hjælpe med ethvert single-sign-on arbejde, du udfører senere.