当我继续建立越来越多的网站和网络应用程序时，我经常被要求存储用户的密码，如果/当用户有问题时，它们可以被检索(要么通过电子邮件发送一个忘记密码的链接，通过电话等)，当我可以与这种做法作斗争时，我做了大量的“额外”编程，使密码重置和管理协助成为可能，而不存储他们的实际密码。

当我无法对抗它(或无法获胜)时，我总是以某种方式对密码进行编码，这样至少它不会以明文形式存储在数据库中——尽管我知道如果我的数据库被黑客攻击，罪犯不需要花费太多时间就能破解密码，所以这让我感到不舒服。

在一个完美的世界里，人们会经常更新密码，而不会在许多不同的网站上重复密码——不幸的是，我知道很多人都有相同的工作/家庭/电子邮件/银行密码，甚至在他们需要帮助的时候免费给我。如果我的数据库安全程序因为某种原因失败了，我不想成为他们财务崩溃的罪魁祸首。

从道德和伦理上讲，我觉得我有责任保护一些用户的生活，即使他们对他们的生活不那么尊重。 我确信有许多方法和论点可以用于盐散列和不同的编码选项，但当您必须存储它们时，是否存在单一的“最佳实践”?在几乎所有的情况下，我使用PHP和MySQL，如果这使任何不同的方式，我应该处理的细节。

Bounty的其他信息

我想澄清的是，我知道这不是你想要做的事情，在大多数情况下，拒绝这样做是最好的。然而，我并不是在寻求关于采用这种方法的优点的说教，我是在寻找如果你确实采用这种方法，应该采取的最佳步骤。

在下面的注释中，我指出了主要面向老年人、智障人士或非常年轻的人的网站，当他们被要求执行安全密码恢复程序时，他们会感到困惑。尽管在这些情况下，我们可能会发现这很简单，但有些用户需要额外的帮助，要么让服务技术人员帮助他们进入系统，要么通过电子邮件/直接显示给他们。

在这样的系统中，如果用户没有得到这种级别的访问帮助，来自这些人口统计数据的流失率可能会阻碍应用程序，所以请在回答时考虑到这样的设置。

谢谢大家

这是一个有趣的问题，有很多争论，我很喜欢。最后，我选择了一个答案，它既保留了密码安全性(我不必保留纯文本或可恢复的密码)，又使我指定的用户群能够登录到一个系统，而不存在我在正常密码恢复中发现的主要缺陷。

像往常一样，由于不同的原因，大约有5个答案我想标记为正确，但我必须选择最好的一个——其余的都是+1。谢谢大家!

同时，感谢Stack社区中为这个问题投票和/或将其标记为最喜欢的人。我把获得100票作为一种赞美，希望这个讨论能帮助到和我有同样担忧的人。