Jag lagrar den saltade hash-motsvarigheten till lösenordet i databasen och aldrig själva lösenordet, och jämför sedan alltid hashen med den genererade av vad användaren skickade in.
Det är för farligt att någonsin lagra den bokstavliga lösenordsinformationen någonstans. Detta gör återställning omöjlig, men när någon glömmer eller tappar bort ett lösenord kan du gå igenom några kontroller och skapa ett nytt lösenord.