視聴しなかったけど、こちらのセッション資料で気になる点が。
39ページ目で、「BCryptPasswordEncoderが遅い」「BCryptPasswordEncoderを使用せず自前実装に切り替えたところ1500msから350msまで改善」とあるけど、暗号化やハッシュ化回りは自前実装しないのがセキュリティ的には安心なんじゃなかったっけ?
これこれ↑。 徳丸浩さんのツイートもあるし。
で、BCryptPasswordEncoderが遅いならPbkdf2PasswordEncoderかなあ。 SCryptPasswordEncoderはいくつか警告もあるし。
自分でログイン認証作るときは考慮しよう。