Храните в моей БД хешированные пароли, а не исходные пароли, верно? так как мне использовать BCrypt.Net.BCrypt?

Вы правы на 100%, когда утверждаете:

Я думал, что должен хранить в своей БД только хэши, а не сами пароли.

В соответствии с нашим онлайн-чатом, где мы разъяснили проблему, о которой вы спрашивали, общий процесс выглядит следующим образом:

• В процессе создания (или изменения) пароля пароль в виде обычного текста поступает в систему в виде открытого текста.
• Затем он хешируется в памяти.
• Затем это значение хеш-функции сохраняется в базе данных.

Позже ...

• Когда пользователь хочет пройти аутентификацию, он вводит свой пароль.
• Этот пароль поступает в систему в виде обычного текста.
• Затем он хешируется в памяти.
• Затем это хеш-значение сравнивается с предыдущим хэшем, сохраненным в пароле.

Важно отметить, что для данного алгоритма хеширования две идентичные строки всегда будут хешироваться до одинаковых значений, поэтому это сравнение безопасно.

Стандартно разрешить паролю быть в виде обычного текста, когда он все еще находится в памяти. Теоретически возможно зашифровать его до того, как он попадет на сервер (например, меня не удивит, если существуют процедуры SHA-512, написанные на JavaScript для хеширования паролей перед их отправкой), но это, как правило, выходит за рамки даже самые сложные требования безопасности.

В коде

BCrypt.Verify (ожидаемый пароль, хэш);

Вы используете имя «ожидаемый пароль», и мне интересно, указывает ли это на ваше неправильное представление. Это не тот пароль, который вы ожидаете от пользователя. Это простой текстовый пароль, который они пытаются использовать для входа в систему.

второй параметр, hashed, представляет собой хешированное значение их «официального» пароля (то есть пароля, с которым они зарегистрировались).

Таким образом, «хэш» хранится в базе данных. «expectedPassword» — это пароль, который они только что ввели для входа в систему. Вы не сохраняете его.