Non memorizzare le password. Se si trova mai su un disco, può essere rubato. Invece, archivia gli hash delle password. Utilizza l'algoritmo di hashing corretto , come bcrypt (che include un salt).
MODIFICA :L'OP ha risposto di aver compreso il problema di cui sopra.
Non è necessario memorizzare la password in una tabella fisicamente diversa da quella di accesso. Se una tabella del database è compromessa, non è un grande salto accedere a un'altra tabella nello stesso database.
Se sei sufficientemente preoccupato per la sicurezza e la sicurezza, potresti considerare di archiviare le credenziali dell'utente in un archivio dati completamente separato dai dati del tuo dominio. Un approccio, comunemente adottato, consiste nell'archiviazione delle credenziali in un server di directory LDAP. Questo potrebbe anche essere utile con qualsiasi lavoro di Single Sign-On che svolgi in seguito.
