È sicuro (o una buona idea) pubblicizzare l'uso di bcrypt?

3

Quindi, il nostro database utilizza bcrypt con un'elevata iterazione / costo per memorizzare le password degli utenti. Utilizziamo https come persone intelligenti e continuiamo a lavorare per trovare il modo di aggirare la nostra sicurezza prima che lo faccia qualcun altro.

Detto ciò, stiamo iniziando una nuova spinta di marketing con una nuova interfaccia e il marketing si sta chiedendo se possiamo / non / dovremmo usare l'uso di bcrypt come punto vendita nella nostra pagina delle funzionalità.

Sembra che ci siano così tante grandi organizzazioni là fuori che NON usano metodi di hashing della password sicura e anche se è un po 'triste, usare qualcosa come bcrypt sembra un elemento di differenziazione.

Quindi, la domanda che voglio porre è se la pubblicità del nostro uso di bcrypt dipingerà un bersaglio sulla nostra schiena. Vedo "usiamo https" pubblicizzato spesso, ma non vedo nulla di menzionato sui criteri di archiviazione della password.

Non ho bisogno di sapere se è una buona tattica di marketing, quello che voglio sapere è se intende esporci a più pericolo se pubblicizziamo l'uso di bcrypt.

Grazie per i tuoi pensieri.

    
posta Niictar 05.02.2014 - 21:19
fonte

3 risposte

8

Il solito argomento va in questo modo: se è non sicuro di descrivere quali algoritmi usi, allora hai un problema più grande. Pertanto, dovresti essere in grado di annunciare al mondo che usi bcrypt senza alcun effetto negativo sulla sicurezza. In realtà, dobbiamo supporre che l'hacker sappia già che usi bcrypt (se è in grado di fare del male, allora probabilmente può vedere il tuo codice, inoltre, l'output di bcrypt dalle abituali implementazioni di bcrypt ha un formato abbastanza riconoscibile).

Sapere se è una buona idea, dal punto di vista del marketing, trasformare l'uso di bcrypt in un campo di vendita è un'altra questione. Personalmente, penso che pronunciare "usiamo HTTPS e tutte le password siano archiviate con hash con bcrypt" non faccia del male al più semplice "usiamo HTTPS". Non posso affermare che sarebbe buono . Inoltre, esiste una cosa troppo tecnica, in quanto potresti inavvertitamente mostrarti come "un gruppo di smanettoni" che potrebbe non piacere al tuo pubblico di clienti. Tutto dipende dal tipo di immagine che si desidera proiettare e dal profilo psicologico medio degli utenti del sito previsti.

    
risposta data 05.02.2014 - 22:07
fonte
2

Sembra che tu abbia l'atteggiamento giusto e sicuramente stai facendo una bella domanda.

Quando qualcuno esegue un test di penetrazione, una delle cose che generalmente cercano è la perdita di informazioni che potrebbe aiutare un aggressore. Un sito web che dice che apache è in esecuzione e la versione specifica sarebbe utile per qualcuno che vuole hackerare il tuo sito Web, ad esempio. Quindi dire al mondo che usi bcrypt dirà a tutti quelli che vogliono hackerarti.

Poi di nuovo, se un utente malintenzionato sa che stai usando bcrypt, è probabile che abbia meno probabilità di indirizzarti perché è probabile che tu abbia le tue cose insieme, quindi ci sono sia potenziali costi che benefici dal punto di vista della conoscenza degli attaccanti.

Ciò che davvero mi fa pensare è che la maggior parte dei tuoi potenziali clienti non ha la prima idea di cosa sia bcrypt, quindi stai dicendo che non è probabile che tu venda il tuo prodotto. Dire semplicemente che la crittografia della password è migliore dello standard del settore e che si ha un strong impegno a proteggere le informazioni dei clienti è sufficiente per la maggior parte dei clienti e, a essere sinceri, ha più senso per loro. Quindi darebbe informazioni sul prodotto a un utente malintenzionato senza alcun beneficio reale.

    
risposta data 05.02.2014 - 21:38
fonte
0

Fai finta di essere il cliente che acquista il tuo prodotto. Se hai visto che il prodotto "aveva bcrypt!" ti renderebbe più probabile l'acquisto? Tenendo presente ciò, è probabile che tu abbia più esperienza di sicurezza rispetto alla maggior parte dei clienti. Sapranno cosa è bcrypt o li distrarrà dagli altri punti vendita? Se questo è per un pubblico tecnico che dice "usiamo bcrypt" non dice molto. Ottimo, usi bcrypt, ma usi un sale? Anche con bcrypt senza sale potrebbe essere usato un tavolo arcobaleno. Per un pubblico tecnico ottenere un audit di terze parti se questo è il ragionamento. Altrimenti, non vale la pena distrarre dai tuoi punti vendita principali.

    
risposta data 06.02.2014 - 00:57
fonte

Leggi altre domande sui tag