Quindi, il nostro database utilizza bcrypt con un'elevata iterazione / costo per memorizzare le password degli utenti. Utilizziamo https come persone intelligenti e continuiamo a lavorare per trovare il modo di aggirare la nostra sicurezza prima che lo faccia qualcun altro.
Detto ciò, stiamo iniziando una nuova spinta di marketing con una nuova interfaccia e il marketing si sta chiedendo se possiamo / non / dovremmo usare l'uso di bcrypt come punto vendita nella nostra pagina delle funzionalità.
Sembra che ci siano così tante grandi organizzazioni là fuori che NON usano metodi di hashing della password sicura e anche se è un po 'triste, usare qualcosa come bcrypt sembra un elemento di differenziazione.
Quindi, la domanda che voglio porre è se la pubblicità del nostro uso di bcrypt dipingerà un bersaglio sulla nostra schiena. Vedo "usiamo https" pubblicizzato spesso, ma non vedo nulla di menzionato sui criteri di archiviazione della password.
Non ho bisogno di sapere se è una buona tattica di marketing, quello che voglio sapere è se intende esporci a più pericolo se pubblicizziamo l'uso di bcrypt.
Grazie per i tuoi pensieri.