Uso Rfc2898DeriveBytes
per la creazione di una chiave AES per la protezione dei dati dell'utente.
Per il valore salt vorrei utilizzare l'id dell'utente, che è un guid.
La mia comprensione è che l'unico svantaggio di usare l'id dell'utente sarebbe, che sarà più facile crackare le chiavi che sono state costruite in precedenza per questo specifico utente, nel caso in cui l'attaccante si trovi nella posizione del database. Ma dal momento che l'hacker ha già infranto la chiave attuale, non è necessario scoppiare le chiavi più vecchie, quindi non vedo questo come un problema.
È un problema utilizzare l'id dell'utente come sale per la derivazione della chiave?
Tipo di guida
Come informazione aggiuntiva, il guid è una guida sequenziale di Windows. Quindi non è casuale ma piuttosto unico.