5

パスワードのセキュリティに関しては、ソルト化されたパスワードのハッシュを保存するなど、人々が同意するものがあります。これにより、侵害されたモデルやデータに対する統計的防御が提供されます。

一部の人が同意していないように見えるのは、塩をどうするかということです. ソルトを保護するために実行できる手法は無数にありますが、多くの専門家は、それらはセキュリティ モデルの無意味な難読化であり、時間の経過とともにモデルが公開されることを示唆しています。これで、しかし、私は他の視点を理解していないかもしれません.

私が理解できないのは、あなたのモデルが侵害されている場合、部分的ではなく完全な侵害を想定する必要があるのはなぜですか? セキュリティ モデルが、均等に保護されていないさまざまなインフラストラクチャに分散されている場合、部分的な侵害は問題にならない可能性があります。(たとえば、salt を暗号化し、侵害される可能性が低い、より高度にセキュリティ保護された環境から暗号化キーを取得するなどのことを行う場合)

ここでの妥協は必ずしも 100% ではないと思います。システムがハッキングされたことも、ハッキングされたこともないので、全体像はわかりません。

4

3 に答える 3

1

難読化と暗号化の大きな違いは、難読化された情報以外のものを必要とせずに、難読化されたものを明確にできることです。見ているデータの種類を把握できれば、それを明確にする方法を見つけることができます。 。

一方、暗号化は、適切なキー/パスワード/クラッキングツールを使用してのみ復号化できます。それらのない暗号化されたデータは非常に安全です。

その結果、難読化は、意欲の低い攻撃者を先延ばしにする可能性はありますが、せいぜい意欲的な攻撃者の速度を低下させる可能性があります。システムとサーバーのセキュリティに関して、あまり決心していない攻撃者に対してそれらを強化するためにできる、より簡単で保守しやすいことがたくさんあります。そのため、あなたとあなたのシステムの追加作業に関する難読化のコストは、私の意見ではめったに正当化されません。

侵害が発生したときに100%ではないと想定することは、非常に危険な試みです。実際に想定しているのは、攻撃者よりも賢く、システムを認識しているということです。あなたは正しいかもしれませんが、あなたがそれを仮定し、あなたが間違っているなら、あなたは確かに非常に深刻な問題に直面しています。あなたはそれを証明しなければなりません、そしてネガティブを証明することに関する問題を考えると、妥協が起こったときにあなたが完全に妥協したかのように行動し、合計が妥協が発生しました。

于 2012-06-21T16:41:22.273 に答える
1

モデルが侵害されている場合、部分的な侵害ではなく完全な侵害を想定する必要があるのはなぜですか?

セキュリティでは常に最悪のケースを想定する必要があります。これが最も安全な方法です。

部分的な妥協は問題にならないかもしれません

多分。しかし、あなたは本当に確信していますか?
OPでは、あまりにも多くの仮定に基づいて分析を行っています。おそらく、非常に特殊な設定では、部分的な妥協は問題にならないというあなたの評価は正当化されるかもしれません。
しかし、ここでもまた、攻撃者が穴を見つけるのに十分ではないと仮定します。
仮定に基づいてセキュリティ モデルを作成しないでください。

于 2012-06-21T16:38:24.847 に答える
0

あいまいさによるセキュリティは、せいぜいギャンブルです。塩を別の場所に保管するのはお金がかかりますか? おそらく。ただし、これらの複数段階のセキュリティ設定を開始するときは、コストと報酬を比較する必要があります。あなたのアプリケーションがそれを必要とするなら、あなたはそれを知っているでしょう。そうしないと、非常に強力なセキュリティを確保するためにアプリケーションにステップを追加しても、問題が発生したときに頭痛の種になるだけです。誰もがシステムに NASA レベルのセキュリティを必要としているわけではありません。セキュリティが重要でないと言っているわけではありません。現在の環境に合わせて調整する必要があるだけです。

于 2012-06-21T16:36:59.143 に答える