Nie przechowuj haseł. Jeśli kiedykolwiek znajduje się na dysku, może zostać skradziony. Zamiast tego przechowuj skróty haseł. Użyj odpowiedniego algorytmu haszującego , jak bcrypt (który zawiera sól).
EDYTUJ :OP odpowiedział, że rozumie powyższy problem.
Nie ma potrzeby przechowywania hasła w fizycznie innej tabeli niż login. Jeśli jedna tabela bazy danych zostanie naruszona, nie jest to duży skok, aby uzyskać dostęp do innej tabeli w tej samej bazie danych.
Jeśli jesteś wystarczająco zaniepokojony bezpieczeństwem i szczegółowymi zabezpieczeniami, możesz rozważyć przechowywanie poświadczeń użytkownika w całkowicie oddzielnym magazynie danych od danych domeny. Jednym z powszechnie stosowanych sposobów jest przechowywanie poświadczeń na serwerze katalogowym LDAP. Może to również pomóc w każdej późniejszej pracy związanej z jednokrotnym logowaniem.