Как хранить учетные данные безопасности в базе данных

Я работаю над приложением, похожим на CMDB, где я должен хранить свои учетные данные безопасности (имена пользователей и пароли серверов, ...).

Я ищу лучший способ надежно хранить их с этими ограничениями:

• Большинство пользователей НЕ будут иметь доступ ко всем учетным данным (в зависимости от роли пользователя)
• Мы не хотим, чтобы все пароли были зашифрованы одним и тем же ключом (уже пробовали: когда пользователь покидает компанию, менять ключ очень сложно...)
• Действительно, мы не хотим, чтобы какой-либо закрытый ключ был написан жестко в исходном коде приложения или даже сохранен где-либо (в нашей предыдущей версии закрытый ключ хранился между нашими ушами...)
• Нам необходимо провести проверку надежности паролей (т.е. проанализировать расшифрованные пароли из скрипта)
• Не должно быть ни одного случая, когда мы больше не могли бы получить доступ к нашим учетным данным (потерянный ключ, ...) => мы не хотим, чтобы посторонние лица смотрели на них, но мы также не хотим терять их => решение для этого ограничением может быть регулярный экспорт в физический шкафчик...

Я не спрашиваю о проблемах безопасности приложений (https, ...) или базы данных (без публичного доступа,...), а только о стороне хранения (даже не может быть в базе данных...? Зашифрованных файлов или что-то в этом роде)...): Можно ли запретить кому-либо, даже имеющему доступ к коду приложения или содержимому базы данных (в худшем случае), прочитать дешифрованные учетные данные?

Я знаю, что я прошу какое-то волшебное решение, но я хочу знать его, если оно существует; о)