Pensi che sia una buona idea divulgare le politiche di crittografia della password nella tua politica sulla privacy o nei termini del contratto di servizio? In altre parole, diresti ai tuoi utenti - e al mondo - che non memorizzi le loro password in testo semplice e che divulghi il metodo esatto utilizzato per memorizzare le password? Ad esempio, una politica sulla privacy potrebbe avere una dichiarazione come questa;
"Non memorizzeremo la tua password come testo normale. Tutte le password sono crittografate con la funzione di hashing Bcrypt e i singoli sali password casuali. Se la tua password è 123456, la tua password verrebbe archiviata nel nostro database in una forma simile a; sale: hash f11ba67d8a: $ 2a $ 08 $ jRAovt7x1lgHjMGsZstzUukaE4Nga6jxfneZXPSMc6 / Uhlx.rY4ri Pertanto, il nostro sito Web - né nessun altro - conoscerà la tua password. "
Domanda n. 1: ritieni che divulgare pubblicamente l'hashing delle password sia una buona politica?
Domanda n. 2: divulgare le politiche di hashing della password disincentivare gli hacker dal tentare di hackerare il database delle password?
Inoltre, ci sono esempi di aziende / siti web che divulgano pubblicamente le loro politiche di crittografia della password sui loro siti / app?
L'unica domanda pertinente che ho trovato è È sicuro (o una buona idea) pubblicizzare l'uso di bcrypt? , che chiede se la crittografia è una funzionalità o un punto vendita.
Sono più interessato alla "divulgazione della crittografia" come criterio e deterrente per gli hacker.
PS: questa non è una domanda su quale schema di hashing delle password o uso di sali sia il migliore.
EDIT : per essere chiari, non sono interessato ai pro e ai contro di "Security Through Obscurity."
Negli ultimi mesi e anni, abbiamo assistito a violazioni dei dati di alto profilo e scoperto che aziende apparentemente sofisticate stanno memorizzando password in testo normale o con uno standard molto basso di crittografia.
Quindi la mia domanda è: è come comunichiamo agli utenti e al mondo che stiamo memorizzando le loro password con una crittografia strong?
E come @JonathanGarber menziona nel commento qui sotto, dovremmo rivelare metodi specifici, invece di dire cose inutili come "rispettiamo gli standard del settore" o "crittografia di livello militare"