Ho letto questo sito abbastanza da sapere che la sicurezza per oscurità è scoraggiata e cattiva. Tuttavia, perché le password non sono di sicurezza per oscurità? Sono una parte oscura dei dati che, quando trovati, consentono l'accesso a un account. Questo è quello che ho imparato a credere in ciò che la sicurezza è l'oscurità.
"La sicurezza attraverso l'oscurità" di solito si riferisce a sistemi che violano il principio di Kerckhoffs .
Il punto chiave è che è il sistema stesso che è oscurato o che oscura qualcosa. I segreti possono ancora esistere all'interno di quel modello, come una password o una chiave crittografica, ma sono segreti che non possono essere scoperti solo mediante il reverse engineering del sistema. Cose oscure possono ancora essere scoperte. La sicurezza attraverso l'oscurità fallisce perché le persone cercano di nascondere i segreti in una scatola, ma poi danno la scatola a qualcuno che ha la possibilità di entrarci, e spero solo che non ci provino.
Un altro modo per vederlo è questo: puoi rendere segreta una password e costruire sistemi dove solo l'utente conosce la password in chiaro, ma è (soprattutto) impossibile costruire un sistema utile in cui il codice o l'algoritmo stesso è segreto.
Alla fine, però, la tua domanda si riduce davvero alla differenza di linguaggio tra "oscuro" e "segreto". Non c'è una risposta facile a questo, ma direi che lo sforzo o la leva richiesta per esporre un segreto è maggiore di quello di qualcosa di semplicemente oscuro.
Ti rimanderò a questa eccellente risposta da un altro utente. Ecco un estratto:
You are right in that a password is only secure if it is obscure. But the "obsure" part of "security through obscurity" refers to obscurity of the system. With passwords, the system is completely open -- you know the exact method that is used to unlock it, but the key, which is not part of the system, is the unknown.
If we were to generalize, then yes, all security is by means of obscurity. However, the phrase "security through obscurity" does not refer to this.
Penso che la chiave (nessun gioco di parole) sia che un sistema di sicurezza per oscuramento oscura lo stesso sistema per tutti gli utenti. In altre parole, una volta che un utente disattiva il sistema, tutti gli altri possono rompere il sistema.
In un sistema basato su password, rompere una password non ti consente di rompere gli account degli altri utenti. Stai oscurando un elemento diverso per ogni utente del sistema.
Leggi altre domande sui tag passwords