In deiner Datenbank sollten folgende Felder enthalten sein

1.) Ident: String -> enthält den Hash über den realen Benutzernamen und kann als Index dienen. Das hat den Vorteil das dieses Feld immer die gleiche Länge haben wird, logisch der Hash ist ja bei jedem Benutzernemen immer gleich lang
2.) Data: String -> enthält in MIME64 formatiert alle Daten die SRP benötigt. Also Zufalls-Verifier zum Passwort, öffentliche Domain Paramater sprich die Primzahl usw., dann den aktuellen Login Counter usw. Dies wäre bildlich gesehen vergleichbar zu deinem Hash übers Passwort.

Das sind die Minimalforderungen.

3.) IsEmpheral: Boolean; bezeichnect einen eingeschränkten Account, also wenn in Data nur ein mit .RegisterUser() erzeugter Key drinnen ist
4.) TimeOutDate: TDateTime; das Datum bis wann ein mit IsEmpheraml=TRUE erzeugter Datensatz gültig ist, also bis zu diesem Datum muß sich der Client mindestens einmal eingeloggt haben

Das waren die Felder die man benötigt um Zugriffskontrolle sicherer zu machen.

5.) EMail
6.) lesbarer Username

Das sind Felder die man in vielen Fällen nicht vermeiden kann, einfach weil es organisatorisch nicht anders geht. Will man "perfekte" Sicherheit so sollte man auf diese Felder verzichten oder sie zumindetens verschlüsselt speichern.

Gruß Hagen