He leído este sitio lo suficiente como para saber que la seguridad por oscuridad está desalentada y es mala. Sin embargo, ¿por qué las contraseñas no son seguras por la oscuridad? Son un dato oscuro que, cuando se encuentra, permite el acceso a una cuenta. Eso es lo que he llegado a creer lo que es la seguridad por oscuridad.
"Seguridad a través de la oscuridad" generalmente se refiere a sistemas que violan el principio de Kerckhoffs .
El punto clave es que es el sistema en sí lo que está oculto, o lo que oculta algo. Los secretos aún pueden existir dentro de ese modelo, como una contraseña o una clave criptográfica, pero son secretos que no se pueden descubrir simplemente mediante la ingeniería inversa del sistema. Aún se pueden descubrir cosas oscuras. La seguridad a través de la oscuridad falla porque las personas intentan ocultar secretos en una caja, pero luego le dan la caja a alguien que tiene la capacidad de entrar, y solo esperan que no lo intenten.
Otra forma de verlo es esta: puede hacer que una contraseña sea secreta y construir sistemas donde solo el usuario conoce la contraseña de texto simple, pero es (en su mayoría) imposible construir un sistema útil donde el código o el algoritmo en sí es secreto.
Sin embargo, al final, tu pregunta realmente se reduce a la diferencia de lenguaje entre "oscuro" y "secreto". No hay una respuesta fácil para esto, pero diría que el esfuerzo o el apalancamiento requerido para exponer un secreto es mayor que el de algo simplemente oscuro.
Lo referiré a esta excelente respuesta de otro usuario. Aquí hay un extracto:
Tienes razón en que una contraseña solo es segura si no está clara. Pero la parte "obsesiva" de "la seguridad a través de la oscuridad" se refiere a la oscuridad del sistema. Con las contraseñas, el sistema está completamente abierto: usted conoce el método exacto que se usa para desbloquearlo, pero la clave, que no forma parte del sistema, es el desconocido.
Si tuviéramos que generalizar, entonces sí, toda la seguridad es por medio de la oscuridad. Sin embargo, la frase "seguridad a través de la oscuridad" no se refiere a esto.
Creo que la clave (sin juego de palabras) es que un sistema de seguridad por oscuridad oculta el mismo sistema para todos los usuarios. En otras palabras, una vez que un usuario desobscura el sistema, todos los demás pueden romper el sistema.
En un sistema basado en contraseña, romper una contraseña no le permite romper las cuentas de otros usuarios. Está ocultando un elemento diferente para cada usuario del sistema.
Lea otras preguntas en las etiquetas passwords