Numerosi clienti mi hanno detto che il mio suggerimento su come cambiare l'algoritmo su un'app Web non aumenta la sicurezza. Ho provato a ragionare che se i file non sono stati esposti, l'attaccante deve indovinare all'algoritmo.
Qualche giorno fa stavo valutando il sito di un amico e ho indicato alcune vulnerabilità SQLi. Non ho avuto alcun accesso ai file. Come sopra, il mio amico mi ha detto che ho sbagliato a suggerire un algoritmo diverso anche se è in grado di gestire i compromessi con un algoritmo diverso.
Il mio ragionamento con lui era che un utente malintenzionato non conosceva il tuo algoritmo, quindi hai escluso una minoranza di aggressori semplicemente cambiando algo. Se hanno usato uno strumento come hashcat e hanno provato a decifrare l'hash con un preset, non li portano da nessuna parte. Anche se si tratta di sicurezza attraverso l'oscurità, funziona in un modo che ti sei difeso solo un po 'se hai un altro SQLi.
Ha insistito per non cambiare l'algoritmo perché chiunque sfrutta il sito è una bandiera bianca automatica. Assume che se viene recuperato un hash, tutti si prenderanno il tempo di craccarlo.
L'hash predefinito è md5. Ho suggerito PBKDF2 o bcrypt.
Proprio come una doppia opinione: Chi, in teoria e in atto, è corretto in questa situazione?
È corretto che dovrebbe mettere una bandiera bianca se qualcuno recupera l'hash di un amministratore? Sarei corretto nel dire che questo è un uso pratico della sicurezza attraverso l'oscurità? ... O se non è affatto la sicurezza attraverso l'oscurità?