In Information and IT Security c'è una brutta tendenza per specifiche "best practice" a diventare regole d'oro inviolabili, che poi portano a raccomandare che vengano applicate indipendentemente dal fatto che siano appropriate per una data situazione (simile a Cargo Cult Programming )
Un buon esempio di questo è l'approccio comune alle policy sulle password che applica un requisito di lunghezza di 8 caratteri adatto a tutti i requisiti di complessità elevata, 12 password precedenti memorizzate in una cronologia per interrompere il riutilizzo, 3 tentativi non corretti blocco e rotazione di 30 giorni.
La rotazione di 30 giorni ha lo scopo di abbassare la finestra di opportunità per un atacker di utilizzare una password rubata, tuttavia è probabile che induca gli utenti a utilizzare password di sequenza, il che significa che se un utente malintenzionato può decifrare un'istanza può facilmente risolvere altri , in realtà invertendo il beneficio di sicurezza previsto.
I requisiti di elevata lunghezza e complessità hanno lo scopo di fermare gli attacchi a forza bruta. Gli attacchi brute-force online sono meglio mitigati con una combinazione di policy di blocco sensibili e rilevamento delle intrusioni, la forza bruta offline di solito si verifica quando un utente malintenzionato ha compromesso il database contenente le password ed è meglio mitigato utilizzando un buon meccanismo di archiviazione (ad esempio bcyprt, PBKDF2 ) anche un indesiderato effetto collaterale è che porterà gli utenti a trovare un modello che funziona e aumenta anche il rischio che gli utenti scrivano la password.
Il criterio di blocco errato 3 ha lo scopo di bloccare gli attacchi brute-force online, ma impostarlo troppo basso aumenta il blocco degli account e il sovraccarico di helpdesk e pone anche un rischio di Denial of service (molti sistemi online hanno facilmente intuito le strutture di username come firstname. cognome, quindi è facile bloccare gli utenti)
Quali sono altri esempi di sicurezza Cargo-Cult che vengono comunemente applicati in modo inappropriato?