Rfc2898DeriveBytes に関連する Web 上の多くのドキュメントは、反復回数を 2 年ごとに増やす必要があることを示唆しています。各ユーザーのハッシュとソルトを使用した反復回数を含むアプリケーションの新しいデータベース構造を設計しています。2 年以内にすべてのパスワードを新しい反復回数に確実に更新する最善の方法は何ですか? Rfc2898DeriveBytes コンストラクターは、ハッシュではなくパスワードのみを入力として受け入れます。私は自分の関数を書くことに少し慎重ですが、HMACSHA1 で再ハッシュすることはオプションでしょうか? それとも、すべてのユーザーがログインして、古いイテレーションがある場合はそれらを再ハッシュするのを待つ必要がありますか?