パスワードのデータベースへの保存方法の希望

質問

データベース (できれば SQL Server 2005) にパスワードを格納するための好ましい方法/データ型は何でしょうか。私がいくつかのアプリケーションで行っている方法は、最初に .NET 暗号化ライブラリを使用し、次にそれを binary(16) としてデータベースに格納することです。これは望ましい方法なのでしょうか、それとも別のデータ型を使用するか、16 よりも多くのスペースを割り当てるべきでしょうか?

どのように解決するのですか?

パスワードそのものではなく、パスワードの塩漬けハッシュをデータベースに保存し、常にユーザが入力したハッシュと生成したハッシュを比較するようにしています。

文字通りのパスワードデータをどこにも保存しないのは危険すぎる。 これは復旧を不可能にしますが、誰かがパスワードを忘れたり失くしたりしたときに、いくつかのチェックを行い、新しいパスワードを作成することができます。