Quella sicurezza attraverso l'oscurità è Una brutta cosa viene accolta saggezza e dogma nella sicurezza delle informazioni. Dire alle persone perché qualcosa deve essere evitato può essere molto più difficile quando non esiste una linea che delinea ciò che stai cercando di escludere da strategie apparentemente efficaci.
Ad esempio: esegui ssh su una porta non predefinita e knock out sono entrambi suggeriti come modi per migliorare sicurezza ssh ed entrambi sono criticati come sicurezza inefficace attraverso l'oscurità.
In questo caso specifico entrambe le soluzioni riducono la visibilità del sistema ai tentativi automatici. Questo non fa nulla per migliorare l'efficacia di ssh come strumento o ridurre la necessità di altre misure di sicurezza ssh. Tuttavia, fornisce un modo per separare i tentativi seri dai passanti automatici, il che migliora la gestibilità del sistema.
- Oltre alla gestibilità / efficacia quali distinzioni descrivono il confine tra usi validi / non validi dell'oscurità?
- Quali analogie descrivono l'uso efficace dell'oscurità o tracciano la distinzione tra questo e l'uso inefficace?
- Quali analogie apparentemente supportano l'efficacia dell'oscurità non reggono e perché?
- Quali altre implementazioni specifiche sono esempi del ruolo valido dell'oscurità?