Domyślne hasło Hash ASP.NET - jak to działa i czy jest bezpieczne?
Zastanawiam się, czy hasło Hasher, które jest domyślnie zaimplementowane wMenedżer użytkownika jest dostarczany z MVC 5 i ASP.NET Identity Framework, jest wystarczająco bezpieczny? A jeśli tak, czy mógłbyś mi wyjaśnić, jak to działa?
Interfejs IPasswordHasher wygląda tak:
public interface IPasswordHasher
{
string HashPassword(string password);
PasswordVerificationResult VerifyHashedPassword(string hashedPassword,
string providedPassword);
}
Jak widać, nie bierze soli, ale jest wspomniany w tym wątku: „Haszowanie hasła tożsamości w Asp.net„że robi to solą za kulisami. Zastanawiam się, jak to robi? I skąd pochodzi ta sól?
Obawiam się, że sól jest statyczna, co czyni ją dość niebezpieczną.