Gli hash delle password non sono parte di FIPS 140-2.
Per cercare di rispondere comunque, dipende - hai solo bisogno di usare FIPS 140-2 algoritmi ? Per l'hashing, questo è SHA-1 e la famiglia SHA-2. Per un generatore di numeri casuali, FIPS 140-2 non si applica - quelli sono in pubblicazioni speciali NIST completamente separate.
RFC2898DeriveBytes è PBKDF2-HMAC-SHA-1; ci sono anche esempi C # non convalidati di PBKDF2-HMAC-SHA-256/384/512 di @JimmiTh su la mia collezione GitHub , se desideri utilizzare anche quelle.
Se hai effettivamente bisogno di usare soluzioni convalidate FIPS 140-2 , prima devi sapere quale livello di convalida hai bisogno (livello 1, 2, 3 o 4), e quindi devi trovare soluzioni che siano state convalidate dal NIST a quel livello.
In entrambi i casi, è necessario approfondire esattamente cosa significa "hashing della password" nel contesto di FIPS 140-2, poiché "l'hashing della password" non fa parte di FIPS 140-2. Ottieni consulenza legale o normativa su come è possibile utilizzare gli algoritmi FIPS 140-2; PBKDF2-HMAC-SHA-xxx è probabilmente permesso, ma accertati.
È possibile che l'interpretazione da parte della tua organizzazione della lettera di qualsiasi regolamento che le sta indicando su FIPS 140-2 contraddica le normali migliori pratiche. Una volta che ti riferisci agli standard di un governo nazionale, devi sapere molto di più sui requisiti.