Gestisco un sito Web che utilizza l'hashing Sha256 delle password.
Le password vengono sottoposte a hash con una chiave GUID e un RNGCrypto generato salt random.
Sto solo cercando di capire i rischi per la sicurezza associati a questo schema.
Se un utente malintenzionato è in grado di ottenere solo le password con hash, esiste un modo in cui possono essere forzate brute o è necessario accedere anche al GUID segreto sul server?
Devo raccomandare al mio cliente di passare a uno schema di hashing più lento?