Sto facendo un login personalizzato per scopi pratici, e mi sto chiedendo quale sarebbe il modo logico per salvare la password hash e i sali.
- Le operazioni Salt / Hash utilizzano la classe Rfc2898DeriveBytes.
Per ora, è così:
- L'utente si registra, la password viene crittografata con un salt casuale (che viene salvato nel database) e hash con un salt codificato con 10000 iterazioni.
Poiché le iterazioni possono essere aumentate nel tempo a causa di miglioramenti computazionali, sto salvando le iterazioni di Hash (le iterazioni di crittografia sono codificate) sul database.
Vorrei avere opinioni su quanto sia sicuro un hash hard codificato, o se dovrei renderlo casuale e aggiungere anche il hash salt al database.