Ne stockez pas les mots de passe. Si jamais il est assis sur un disque, il peut être volé. Au lieu de cela, stockez les hachages de mot de passe. Utiliser le bon algorithme de hachage , comme bcrypt (qui inclut un sel).
MODIFIER :Le PO a répondu qu'il comprenait le problème ci-dessus.
Il n'est pas nécessaire de stocker le mot de passe dans une table physiquement différente de la connexion. Si une table de base de données est compromise, il n'y a pas grand-chose à faire pour accéder à une autre table de cette même base de données.
Si vous êtes suffisamment préoccupé par la sécurité et la sécurité approfondie, vous pouvez envisager de stocker les informations d'identification de l'utilisateur dans un magasin de données complètement séparé des données de votre domaine. Une approche, couramment utilisée, consiste à stocker les informations d'identification dans un serveur d'annuaire LDAP. Cela peut également être utile pour tout travail d'authentification unique que vous effectuerez ultérieurement.
