Utilizo Rfc2898DeriveBytes
para crear una clave AES para proteger los datos del usuario.
Para el valor de sal, me gustaría usar el ID del usuario, que es una guía.
Tengo entendido que el único inconveniente de usar la identificación del usuario sería que será más fácil descifrar las claves que se crearon previamente para este usuario específico, en caso de que el atacante esté en la posesión de la base de datos. Pero como el atacante ya ha descifrado la clave actual, no hay necesidad de descifrar claves antiguas, por lo tanto, no veo esto como un problema.
¿Es un problema usar la identificación del usuario como un salt para la derivación clave?
Tipo de guía
Como información adicional, el guid es un Guid secuencial de Windows. Por lo tanto no es realmente aleatorio sino bastante único.