注意我不是加密专家(这就是我使用像 NaCl 这样的库的原因)。
从我读过的关于这个主题的内容来看,将用户密码存储在数据库中的最安全方法是存储散列和用于生成该散列的盐。我决定为此目的使用 libsodium-net,但现在我在这个主题中留下了一个问题:我不需要生成和存储盐吗?我问是因为 libsodium-net 包含以下功能:
// this uses the default Strength.Interactive hashing algorithm
var hash = PasswordHash.ScryptHashString(password);
var isValid = PasswordHash.ScryptHashStringVerify(hash, password);
在生成或验证哈希时似乎不需要使用盐。事实上,没有接受盐的 ScryptHashString 和 ScryptHashStringVerify 的重载方法。我觉得我在这里遗漏了一些明显的东西。我是吗?或者 libsodium-net 是否消除了对盐的需求?