¿Es seguro (o una buena idea) anunciar el uso de bcrypt?

Navega tus respuestas
3

Por lo tanto, nuestra base de datos utiliza bcrypt con una alta iteración / costo para almacenar las contraseñas de nuestros usuarios. Estamos usando https como personas inteligentes y seguimos trabajando para encontrar formas de esquivar nuestra propia seguridad antes de que alguien más lo haga.

Dicho esto, estamos comenzando un nuevo impulso de marketing con una nueva interfaz y los especialistas de marketing se preguntan si podemos / debemos / no debemos usar el uso de bcrypt como punto de venta en nuestra página de características.

Parece que hay tantas organizaciones grandes por ahí que NO use métodos de hashing de contraseñas seguras e incluso si es un poco triste, usar algo como bcrypt parece un diferenciador.

Entonces, la pregunta que quiero hacer es si anunciar nuestro uso de bcrypt pintará un objetivo en nuestra espalda. Veo "usamos https" publicitados a menudo, pero no veo nada mencionado sobre las políticas de almacenamiento de contraseñas.

No necesito saber si es una buena táctica de marketing, lo que quiero saber es si nos expondrá a un mayor peligro si publicitamos el uso de bcrypt.

Gracias por tus pensamientos.

    
pregunta Niictar 05.02.2014 - 21:19
fuente

3 respuestas

8

El argumento habitual es el siguiente: si no es seguro describir los algoritmos que usa, entonces tiene un problema mayor. Por lo tanto, debería poder anunciar al mundo que usa bcrypt sin afectar la seguridad. De hecho, debemos asumir que el atacante ya sabe que usted usa bcrypt (si está en posición de hacer daño, entonces probablemente pueda ver su código; también, la salida de bcrypt de las implementaciones habituales de bcrypt tiene un formato bastante reconocible).

Saber si es una buena idea, desde un punto de vista de marketing, convertir el uso de bcrypt en un argumento de venta es otra cuestión. Personalmente, creo que decir "usamos HTTPS y todas las contraseñas se almacenan con hash con bcrypt" no hará daño a la simple "usamos HTTPS". No puedo afirmar que haría bien . Además, existe la posibilidad de que sea demasiado técnico, ya que puede aparecer inadvertidamente como "un grupo de geeks" que pueden o no atraer a la multitud de sus clientes potenciales. Todo esto depende del tipo de imagen que desee proyectar y del perfil psicológico promedio de los usuarios del sitio esperado.

    
respondido por el Thomas Pornin 05.02.2014 - 22:07
fuente
2

Parece que tienes la actitud correcta y ciertamente estás haciendo una buena pregunta.

Cuando alguien realiza una prueba de penetración, una de las cosas que buscarán generalmente es la filtración de información que podría ayudar a un atacante. Un sitio web que dice que apache se está ejecutando y la versión específica sería útil para alguien que quiera hackear su sitio web, por ejemplo. Así que decirle al mundo que usas bcrypt se lo dirá a cualquiera que quiera piratearte.

Una vez más, si un atacante sabe que estás usando bcrypt, es probable que tengan menos posibilidades de atacarte, ya que es probable que tengas tus cosas juntas, por lo que existen tanto costos potenciales como beneficios desde el punto de vista del conocimiento del atacante.

Lo que realmente se me ocurre es que es poco probable que la mayoría de sus clientes potenciales tengan la primera idea de qué es bcrypt, por lo que usted dice que no lo va a utilizar para vender su producto. Simplemente decir que la encriptación de su contraseña es mejor que el estándar de la industria, y usted tiene un fuerte compromiso de proteger la información del cliente es suficiente para la mayoría de los clientes, y ser honesto tiene más sentido para ellos. Por lo tanto, estaría entregando información sobre su producto a un atacante sin ningún beneficio real.

    
respondido por el GdD 05.02.2014 - 21:38
fuente
0

Imagina que eres el cliente que compra tu propio producto. Si viste que el producto "tenía bcrypt!" ¿Eso te haría más propenso a comprarlo? Teniendo esto en cuenta, es probable que tengas más experiencia en seguridad que la mayoría de los clientes. ¿Sabrán qué es bcrypt o los distraerá de sus otros puntos de venta? Si esto es para una audiencia técnica que dice "usamos bcrypt" no dice mucho. Genial, usas bcrypt, pero ¿usas sal? Incluso con bcrypt sin sal se podría usar una mesa de arco iris. Para una audiencia técnica obtener una auditoría de terceros si ese es el razonamiento. De lo contrario, no vale la pena distraerse de sus principales puntos de venta.

    
respondido por el waitingToCompile 06.02.2014 - 00:57
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo asegurarme de que Dropbox está usando solo su carpeta? ¿El IP de Asunto del Nombre crítico: x.x.x.x está en un límite de certificado de cliente SSL desde el cual se puede usar el certificado?