Здравствуйте, keenn, Вы писали:

КВ>>Советы разработчикам систем парольной аутентификации

K>кстати по поводу гуидов как сессионных ключей, чем они особо плохи кроме вероятности вычислять след значение?

Ну, например, у нас, этого в общем-то достаточно, чтобы приложение не было принято в продакшн Криптографическая нестойкость GUID — их единственный недостаток (AFAIK), для использования в качестве ключей сессий. Но он легко устраняется, достаточно подсунуть в конструктор Guid'а в качестве seed'а годную псевдослучайную последовательность, сгенеренную например RNGCryptoServiceProvider'ом.