Zastanawiam się, czy hasło Hasher, które jest domyślnie zaimplementowane wMenedżer użytkownika jest dostarczany z MVC 5 i ASP.NET Identity Framework, jest wystarczająco bezpieczny? A jeśli tak, czy mógłbyś mi wyjaśnić, jak to działa?

Interfejs IPasswordHasher wygląda tak:

public interface IPasswordHasher
{
    string HashPassword(string password);
    PasswordVerificationResult VerifyHashedPassword(string hashedPassword, 
                                                       string providedPassword);
}

Jak widać, nie bierze soli, ale jest wspomniany w tym wątku: „Haszowanie hasła tożsamości w Asp.net„że robi to solą za kulisami. Zastanawiam się, jak to robi? I skąd pochodzi ta sól?

Obawiam się, że sól jest statyczna, co czyni ją dość niebezpieczną.