¿Cree que es una buena idea divulgar las políticas de cifrado de su contraseña en su política de privacidad o en los términos del acuerdo de servicio? En otras palabras, ¿le diría a sus usuarios, y al mundo, que no almacena sus contraseñas en texto sin formato, y revela el método exacto que utiliza para almacenar contraseñas? Por ejemplo, una política de privacidad podría tener una declaración como esta;
“No almacenaremos su contraseña como texto sin formato. Todas las contraseñas están cifradas con la función de hash Bcrypt y las sales de contraseña aleatoria individuales. Si su contraseña es 123456, su contraseña se almacenará en nuestra base de datos en una forma similar a; salt: f11ba67d8a hash: $ 2a $ 08 $ jRAovt7x1lgHjMGsZstzUukaE4Nga6jxfneZXPSMc6 / Uhlx.rY4ri Por lo tanto, nuestro sitio web - ni nadie más - sabrá su contraseña ".
Pregunta # 1: ¿Cree que divulgar públicamente el hashing de contraseñas es una buena política?
Pregunta # 2: ¿Revelar las políticas de hash de contraseñas desincentivaría a los piratas informáticos para que intenten hackear su base de datos de contraseñas?
Además, ¿hay ejemplos de compañías / sitios web que divulgan públicamente sus políticas de cifrado de contraseñas en sus sitios / aplicaciones?
La única pregunta relevante que encontré es ¿Es seguro (o una buena idea) anunciar el uso de bcrypt? , que pregunta si el cifrado es una característica o un punto de venta.
Estoy más interesado en la "divulgación de cifrado" como una política y un elemento disuasivo para los piratas informáticos.
PS: Esta no es una pregunta sobre qué esquema de hash de contraseña o uso de sales es mejor.
EDIT : Para ser claro, no estoy interesado en los pros y los contras de la "Seguridad a través de la oscuridad".
En los últimos meses y años, hemos sido testigos de violaciones de datos de alto perfil y hemos descubierto que las compañías aparentemente sofisticadas almacenan contraseñas en texto sin formato o con un estándar de cifrado muy bajo.
Mi pregunta es, ¿cómo nos comunicamos con los usuarios y con el mundo en el que almacenamos sus contraseñas con un cifrado sólido?
Y como @JonathanGarber menciona en el comentario a continuación, deberíamos divulgar métodos específicos, en lugar de decir cosas inútiles como "cumplimos con los estándares de la industria" o "cifrado de grado militar"