通常的做法是存储密码的哈希值。这样的：

The usual practice is to store a hash of the password. Like:

HASHBYTES('SHA1', convert(varbinary(32), @password))

通过哈希，你可以验证，如果密码匹配，但你不知道密码本身。因此，即使黑客获得了对数据库的完全访问权限，他仍然不知道密码。

With a hash, you can verify if the password matches, but you don't know the password itself. So even if a hacker gains complete access to your database, he still does not know the passwords.

有很多教程在网络上。