¿Cree que es una buena política divulgar su método de cifrado de contraseña a los usuarios? [cerrado]

6

¿Cree que es una buena idea divulgar las políticas de cifrado de su contraseña en su política de privacidad o en los términos del acuerdo de servicio? En otras palabras, ¿le diría a sus usuarios, y al mundo, que no almacena sus contraseñas en texto sin formato, y revela el método exacto que utiliza para almacenar contraseñas? Por ejemplo, una política de privacidad podría tener una declaración como esta;

“No almacenaremos su contraseña como texto sin formato. Todas las contraseñas están cifradas con la función de hash Bcrypt y las sales de contraseña aleatoria individuales. Si su contraseña es 123456, su contraseña se almacenará en nuestra base de datos en una forma similar a; salt: f11ba67d8a hash: $ 2a $ 08 $ jRAovt7x1lgHjMGsZstzUukaE4Nga6jxfneZXPSMc6 / Uhlx.rY4ri Por lo tanto, nuestro sitio web - ni nadie más - sabrá su contraseña ".

Pregunta # 1: ¿Cree que divulgar públicamente el hashing de contraseñas es una buena política?

Pregunta # 2: ¿Revelar las políticas de hash de contraseñas desincentivaría a los piratas informáticos para que intenten hackear su base de datos de contraseñas?

Además, ¿hay ejemplos de compañías / sitios web que divulgan públicamente sus políticas de cifrado de contraseñas en sus sitios / aplicaciones?

La única pregunta relevante que encontré es ¿Es seguro (o una buena idea) anunciar el uso de bcrypt? , que pregunta si el cifrado es una característica o un punto de venta.

Estoy más interesado en la "divulgación de cifrado" como una política y un elemento disuasivo para los piratas informáticos.

PS: Esta no es una pregunta sobre qué esquema de hash de contraseña o uso de sales es mejor.

EDIT : Para ser claro, no estoy interesado en los pros y los contras de la "Seguridad a través de la oscuridad".

En los últimos meses y años, hemos sido testigos de violaciones de datos de alto perfil y hemos descubierto que las compañías aparentemente sofisticadas almacenan contraseñas en texto sin formato o con un estándar de cifrado muy bajo.

Mi pregunta es, ¿cómo nos comunicamos con los usuarios y con el mundo en el que almacenamos sus contraseñas con un cifrado sólido?

Y como @JonathanGarber menciona en el comentario a continuación, deberíamos divulgar métodos específicos, en lugar de decir cosas inútiles como "cumplimos con los estándares de la industria" o "cifrado de grado militar"

    
pregunta bmorenate 25.02.2014 - 16:11
fuente

3 respuestas

4

Diría que la mejor opción es divulgar detalles técnicos de alto nivel de este tipo de control, por lo que, por ejemplo, "almacenamos sus contraseñas utilizando un algoritmo de hashing (bcrpyt) diseñado específicamente para este fin. Las contraseñas nunca se almacenan o transmitido en un formato sin cifrar "

Esto realmente no le proporciona a un atacante nada de lo que pueda usar para atacarte (a menos que sepa de una vulnerabilidad en bcrypt), pero evita las declaraciones de sonidos de aceite de serpiente como "cifrado de grado militar" que pondrá más Clientes con conocimientos de seguridad de su producto.

    
respondido por el Rоry McCune 25.02.2014 - 18:41
fuente
4

Hay cosas buenas y malas acerca de revelar el cifrado de su contraseña en un documento.

Para:

  • Cuando revela su algoritmo de cifrado, si está haciendo algo mal, es más probable que alguien se lo indique.

en contra:

  • Si una de las personas que tiene acceso a la documentación quiere atacar su sistema ya sabrá el método de cifrado que utiliza. (todavía se perderán los detalles de implementación, como el sal real utilizado)

Marque esta gran pregunta / respuesta: ¿En qué momento algo cuenta como seguridad? oscuridad '?

En términos generales, la divulgación de información es lo que hace que el conocimiento público evolucione, por lo que creo que es una buena política moralmente hablando.

    
respondido por el Sandokas 25.02.2014 - 16:19
fuente
0

Si desea mantenerlo en secreto por razones de seguridad, entonces, por supuesto, lo está haciendo mal.

Principalmente, sin embargo, a menos que tenga una audiencia muy específica y muy técnica, REALMENTE NO SE IMPORTA. Lo que la gente quiere escuchar, desafortunadamente, es que tiene "cifrado de grado militar" y "cumplimos con los estándares de la industria". En su mayor parte, estas son las personas que usan "contraseña" para su contraseña, pegan sus contraseñas en su monitor y / o reutilizan una contraseña para todo. ESTO NO SIGNIFICA QUE NO DEBE HACER SU PARTE PARA ASEGURAR LAS CONTRASEÑAS, solo eso les dice a los usuarios que sus métodos no son lo que quieren.

Incluso desde una perspectiva de seguridad, el problema casi nunca está en el algoritmo, siempre en la implementación.

Personalmente, creo que una mejor solución es algo como OAuth. No se aplica a todos los sistemas, pero agregar otra contraseña para que los usuarios la recuerden no es una buena manera de mejorar la situación de la contraseña. Tome StackExchange como ejemplo.

    
respondido por el AMADANON Inc. 25.02.2014 - 21:59
fuente

Lea otras preguntas en las etiquetas