Как обращаться с паролем для моего проекта?

В настоящее время я планирую проект, который разблокирует Pi с помощью NFC, а затем войдет в RDP. Пользователям никогда не потребуется знать пароль для входа в виртуальную машину, поскольку их карта NFC будет обрабатывать вход в систему. Так как же подойти к этому?

Я думал: NFC-карта имеет уникальный идентификатор, проверьте базу данных на наличие идентификатора, получите соответствующий пароль и затем отправьте его на rdesk top.

Но есть проблема с этим, я не хочу создавать потенциальную проблему безопасности, если база данных взломана, кто-то может попасть в чужую виртуальную машину, я не хочу, чтобы это произошло.

Итак, мой вопрос: каков наиболее безопасный подход к этому? И если я хеширую свои пароли, как я могу восстановить их снова?