LO de que sea "fácilmente reconocible", lo vas encontrar en TODAS las bases de datos, es parte del funcionamiento del sistema. Lo que se hace es segurizar la base de datos, no ponerse paranoico y encriptar hasta los tags...
SI la base de datos está debidamente protegida en DMZ, y bien configurado su acceso, de modo que sólo pueda ingresarse con los usuarios perfectamente asegurados, no deberías tener problemas.
Respecto a los datos que deben o no deben preservarse, y cómo deben preservarse, eso depende exclusivamente de la legislación aplicable, que NO es la misma en todos los países. Debes verificar cual es la que aplica en tu caso, y cuales son los requisitos de encriptación que se especifican, y en qué datos se aplican.
Lo de acceso por SP es muy importante, porque de ese modo existe una capa de aislamiento entre la lógica de negocio y la capa de datos. No sólo es para evitar todo lo posible que haya SQL embebido en los scripts de PHP, que lo terminan haciendo vulnerable al sistema, sino que además te protegerán de ataques de sqlinjection.
Finalmente, una de las cosas que puedes hacer es sacar las claves y nombres de usuario de base de datos FUERA del web.config y ponerlo en carpetas privadas de la aplicación, y A SU VEZ también encriptarlos pero sólo dentro del archivo de configuración de los connectionstrings. Eso evitará que alguien sin acceso a esos dos datos pueda ver lo que contiene la base.

Como puedes ver, no hay un único método ni tampoco una única técnica que debes usar para tales segurizaciones.