Dav*_*vy8 28 security passwords security-by-obscurity
我知道通过默默无闻的安全性是不受欢迎的,并且被认为不是很安全,但通过默默无闻的密码安全性不是吗?只要没有人发现它,它就是安全的.
这只是默默无闻的问题吗?(即一个好的密码很好的盐渍和散列是不切实际的打破)
注意我不是在询问保存密码的过程(假设它们是正确的哈希和盐渍).我问的是整个想法使用密码,这是一条信息,如果知道可能会损害一个人的帐户.
或者我误解了默默无闻的安全意味着什么?我想这就是我认为的意思,就是存在一些信息,如果已知会损害系统(在这种情况下,系统被定义为密码意味着要保护的)
Dav*_*ang 23
你是对的,密码只有在不明确的情况下才是安全的.但"通过默默无闻的安全"中的"晦涩"部分是指系统的模糊性.使用密码,系统是完全开放的 - 您知道用于解锁它的确切方法,但是密钥(不是系统的一部分)是未知的.
如果我们要概括,那么是的,所有的安全都是默默无闻的.但是,"通过默默无闻的安全"这一短语并未提到这一点.
Jör*_*tag 15
也许更容易理解安全隐患是什么,通过观察某种意义上相反的东西:Auguste Kerckhoffs的第二原理(现在通常简称为Kerckhoffs原理),于1883年制定的两篇关于La Cryptographie Militaire的文章:
[密码]不能被要求保密,它必须能够在没有不便的情况下落入敌人的手中.
克劳德·香农将其重新表述为:
敌人知道系统.
而埃里克雷蒙德:
任何不承担敌人拥有源代码的安全软件设计都是不值得信任的.
该原则的另一种表述是
系统的安全性必须仅取决于密钥的保密性,而不仅仅取决于系统的保密性.
因此,我们可以简单地将Ob-Security安全性定义为不遵循该原则的任何系统,因此我们巧妙地定义了密码:-)
这个原则有意义有两个基本原因:
请注意,它没有说任何你不能保持系统秘密的地方.它只是说你不应该依赖它.您可以使用Security-by-Obscurity作为额外的防线,您不应该认为它确实有效.
然而,一般来说,加密很难,而加密系统很复杂,因此你几乎需要发布它,以尽可能多地加密它.在这个星球上,只有极少数组织真正拥有必要的智能人才来设计保密密码系统:在过去,当数学家是爱国者和政府富裕时,那些是NSA和KGB,现在它是IBM和从现在开始几年,它将成为中国特勤局和国际犯罪集团.