Mantengo un sitio web que utiliza el hashing de contraseñas Sha256.
Las contraseñas se incluyen con una clave GUID y un RNGCrypto genera sal aleatoria.
Solo intento comprender los riesgos de seguridad asociados con este esquema.
Si un atacante puede obtener solo las contraseñas con hash, ¿hay alguna forma de que sean forzados a la fuerza bruta o necesitarán también acceder al GUID secreto en el servidor?
¿Debo recomendar a mi cliente que cambiemos a un esquema de hashing más lento?