Esiste un vero standard per l'hashing quando si lavora con password utente nello sviluppo di software non basato sul Web?
Ho sempre gestito le password in PHP solo prima, dove l'hashing è un must data la disponibilità aperta del web.
In un'applicazione che funge semplicemente da front-end per un DB archiviato localmente, senza alcuna interazione con Internet (almeno non per quanto riguarda le password), come vengono memorizzate e gestite le password? Sicuramente non sono archiviati come testo normale in quanto sembra una pessima idea indipendentemente da come siano sicuri i sistemi. Al momento, il meglio che ho è memorizzare una password Hashed e un Salt separato nel DB. Nella mia esperienza anche la conservazione separata del sale è una cattiva pratica.
Inoltre non riesco a trovare molta documentazione quando si tratta di pratiche per una soluzione non basata sul web. Ho dovuto eseguire una serie di conversioni e manipolare manualmente la password per funzionare effettivamente con lo spazio dei nomi (system.security.cryptography).
Dato che non ci si può aspettare che ogni sviluppatore si preoccupi abbastanza per compiere lo sforzo, mi sarei aspettato che ci fossero un certo numero di librerie e strumenti per aiutare a rendere l'attività il più semplice possibile.
Modifica: voglio solo chiarire, sto cercando come cambiano queste pratiche (se ci sono cambiamenti) per le applicazioni locali e se esiste o meno uno standard da seguire per lavorare in un ambiente locale.
(Sto lavorando con C # .NET btw se questo cambia qualcosa)