Pensi che sia una buona politica divulgare il metodo di crittografia della password agli utenti? [chiuso]

Naviga le tue risposte
6

Pensi che sia una buona idea divulgare le politiche di crittografia della password nella tua politica sulla privacy o nei termini del contratto di servizio? In altre parole, diresti ai tuoi utenti - e al mondo - che non memorizzi le loro password in testo semplice e che divulghi il metodo esatto utilizzato per memorizzare le password? Ad esempio, una politica sulla privacy potrebbe avere una dichiarazione come questa;

"Non memorizzeremo la tua password come testo normale. Tutte le password sono crittografate con la funzione di hashing Bcrypt e i singoli sali password casuali. Se la tua password è 123456, la tua password verrebbe archiviata nel nostro database in una forma simile a; sale: hash f11ba67d8a: $ 2a $ 08 $ jRAovt7x1lgHjMGsZstzUukaE4Nga6jxfneZXPSMc6 / Uhlx.rY4ri Pertanto, il nostro sito Web - né nessun altro - conoscerà la tua password. "

Domanda n. 1: ritieni che divulgare pubblicamente l'hashing delle password sia una buona politica?

Domanda n. 2: divulgare le politiche di hashing della password disincentivare gli hacker dal tentare di hackerare il database delle password?

Inoltre, ci sono esempi di aziende / siti web che divulgano pubblicamente le loro politiche di crittografia della password sui loro siti / app?

L'unica domanda pertinente che ho trovato è È sicuro (o una buona idea) pubblicizzare l'uso di bcrypt? , che chiede se la crittografia è una funzionalità o un punto vendita.

Sono più interessato alla "divulgazione della crittografia" come criterio e deterrente per gli hacker.

PS: questa non è una domanda su quale schema di hashing delle password o uso di sali sia il migliore.

EDIT : per essere chiari, non sono interessato ai pro e ai contro di "Security Through Obscurity."

Negli ultimi mesi e anni, abbiamo assistito a violazioni dei dati di alto profilo e scoperto che aziende apparentemente sofisticate stanno memorizzando password in testo normale o con uno standard molto basso di crittografia.

Quindi la mia domanda è: è come comunichiamo agli utenti e al mondo che stiamo memorizzando le loro password con una crittografia strong?

E come @JonathanGarber menziona nel commento qui sotto, dovremmo rivelare metodi specifici, invece di dire cose inutili come "rispettiamo gli standard del settore" o "crittografia di livello militare"

    
posta bmorenate 25.02.2014 - 16:11
fonte

3 risposte

4

Direi che l'opzione migliore è quella di divulgare dettagli tecnici di alto livello di questo tipo di controllo, quindi per esempio "archiviamo le tue password usando un algoritmo di hashing (bcrpyt) appositamente progettato per questo scopo. trasmesso in un formato non criptato "

Questo non fornisce realmente a un utente malintenzionato tutto ciò che può usare per attaccarti (a meno che non sappia di una vulnerabilità in bcrypt, ovviamente), ma evita affermazioni dal suono di serpente come "crittografia militare" che aggiungerà un po 'di più clienti esperti di sicurezza dal tuo prodotto.

    
risposta data 25.02.2014 - 18:41
fonte
4

Ci sono cose buone e cattive su come rivelare la crittografia della password in un documento.

Per:

  • Quando comunichi l'algoritmo di crittografia, se stai facendo qualcosa di sbagliato, è più probabile che qualcuno lo indichi a te.

Contro:

  • Se una delle persone che ha accesso alla documentazione vuole attaccare il tuo sistema conoscerà già il metodo di crittografia che usi. (mancheranno comunque dettagli di implementazione come, ad esempio, il sale utilizzato)

Controlla questa fantastica domanda / risposta: A che punto conta qualcosa come 'sicurezza attraverso obscurity '?

In generale, divulgare informazioni è ciò che fa evolvere la conoscenza pubblica, quindi penso che sia una grande politica moralmente parlando.

    
risposta data 25.02.2014 - 16:19
fonte
0

Se vuoi tenerlo segreto per ragioni di sicurezza, allora, naturalmente, stai sbagliando.

In primo luogo, tuttavia, a meno che tu non abbia un pubblico molto specifico e molto tecnico, NON REALIZZANO VERAMENTE. Sfortunatamente, la gente vuole sentirsi dire che si ha una "crittografia militare" e "rispettiamo gli standard del settore". Per la maggior parte, queste sono le persone che usano "password" per la loro password, attaccano le loro password sul loro monitor e / o riutilizzano una password per tutto. QUESTO NON SIGNIFICA CHE NON DEVI FARE LA TUA PARTE PER PROTEGGERE LE PASSWORD, solo che comunicare agli utenti i tuoi metodi non è quello che vogliono.

Anche dal punto di vista della sicurezza, il problema non è quasi mai nell'algoritmo, sempre nell'implementazione.

Personalmente, penso che una soluzione migliore sia qualcosa come OAuth. Non si applica a tutti i sistemi, ma aggiungere un'altra password per gli utenti da ricordare non è un buon modo per migliorare la situazione della password. Prendi StackExchange come esempio.

    
risposta data 25.02.2014 - 21:59
fonte

Leggi altre domande sui tag

Gli hash delle password dovrebbero essere crittografati o HMACed? È sicuro condividere un file wireshark?