No almacene contraseñas. Si alguna vez está sentado en un disco, puede ser robado. En su lugar, almacene hashes de contraseña. Use el algoritmo hash correcto , como bcrypt (que incluye una sal).
EDITAR :El OP ha respondido que entiende el problema anterior.
No es necesario almacenar la contraseña en una tabla físicamente diferente a la del inicio de sesión. Si una tabla de la base de datos está comprometida, no es un gran salto acceder a otra tabla en esa misma base de datos.
Si está lo suficientemente preocupado por la seguridad y la seguridad en profundidad, podría considerar almacenar las credenciales de usuario en un almacén de datos completamente separado de los datos de su dominio. Un enfoque, comúnmente realizado, es almacenar las credenciales en un servidor de directorio LDAP. Esto también podría ayudar con cualquier trabajo de inicio de sesión único que haga más adelante.
