È sicuro (o una buona idea) pubblicizzare l'uso di bcrypt?

Il solito argomento va in questo modo: se è non sicuro di descrivere quali algoritmi usi, allora hai un problema più grande. Pertanto, dovresti essere in grado di annunciare al mondo che usi bcrypt senza alcun effetto negativo sulla sicurezza. In realtà, dobbiamo supporre che l'hacker sappia già che usi bcrypt (se è in grado di fare del male, allora probabilmente può vedere il tuo codice, inoltre, l'output di bcrypt dalle abituali implementazioni di bcrypt ha un formato abbastanza riconoscibile).

Sapere se è una buona idea, dal punto di vista del marketing, trasformare l'uso di bcrypt in un campo di vendita è un'altra questione. Personalmente, penso che pronunciare "usiamo HTTPS e tutte le password siano archiviate con hash con bcrypt" non faccia del male al più semplice "usiamo HTTPS". Non posso affermare che sarebbe buono . Inoltre, esiste una cosa troppo tecnica, in quanto potresti inavvertitamente mostrarti come "un gruppo di smanettoni" che potrebbe non piacere al tuo pubblico di clienti. Tutto dipende dal tipo di immagine che si desidera proiettare e dal profilo psicologico medio degli utenti del sito previsti.

Sembra che tu abbia l'atteggiamento giusto e sicuramente stai facendo una bella domanda.

Quando qualcuno esegue un test di penetrazione, una delle cose che generalmente cercano è la perdita di informazioni che potrebbe aiutare un aggressore. Un sito web che dice che apache è in esecuzione e la versione specifica sarebbe utile per qualcuno che vuole hackerare il tuo sito Web, ad esempio. Quindi dire al mondo che usi bcrypt dirà a tutti quelli che vogliono hackerarti.

Poi di nuovo, se un utente malintenzionato sa che stai usando bcrypt, è probabile che abbia meno probabilità di indirizzarti perché è probabile che tu abbia le tue cose insieme, quindi ci sono sia potenziali costi che benefici dal punto di vista della conoscenza degli attaccanti.

Ciò che davvero mi fa pensare è che la maggior parte dei tuoi potenziali clienti non ha la prima idea di cosa sia bcrypt, quindi stai dicendo che non è probabile che tu venda il tuo prodotto. Dire semplicemente che la crittografia della password è migliore dello standard del settore e che si ha un strong impegno a proteggere le informazioni dei clienti è sufficiente per la maggior parte dei clienti e, a essere sinceri, ha più senso per loro. Quindi darebbe informazioni sul prodotto a un utente malintenzionato senza alcun beneficio reale.

Fai finta di essere il cliente che acquista il tuo prodotto. Se hai visto che il prodotto "aveva bcrypt!" ti renderebbe più probabile l'acquisto? Tenendo presente ciò, è probabile che tu abbia più esperienza di sicurezza rispetto alla maggior parte dei clienti. Sapranno cosa è bcrypt o li distrarrà dagli altri punti vendita? Se questo è per un pubblico tecnico che dice "usiamo bcrypt" non dice molto. Ottimo, usi bcrypt, ma usi un sale? Anche con bcrypt senza sale potrebbe essere usato un tavolo arcobaleno. Per un pubblico tecnico ottenere un audit di terze parti se questo è il ragionamento. Altrimenti, non vale la pena distrarre dai tuoi punti vendita principali.