パスワードのセキュリティは、多くの人にとって懸念事項です。
パスワードハッシュに bcrypt を使用していることと、その仕組みを説明する「パスワードセキュリティについて学ぶ」リンクを含めたいと思います。
この情報を公開すると、セキュリティ上の懸念が生じたり、システムの安全性が低下したりすることはありますか?
パスワードのセキュリティは、多くの人にとって懸念事項です。
パスワードハッシュに bcrypt を使用していることと、その仕組みを説明する「パスワードセキュリティについて学ぶ」リンクを含めたいと思います。
この情報を公開すると、セキュリティ上の懸念が生じたり、システムの安全性が低下したりすることはありますか?
「システムのセキュリティは、実装またはそのコンポーネントの機密性に依存するべきではありません。」
あなたが言及しているのはSecurity through obscurityです。キーを除いて、暗号システムは既知であっても安全であると想定されています。実装の機密性に依存する場合は、別のシステムに移行する必要があります。
ハッシュの場合、バックハッシュの既知の方法が存在しない場合、システムは安全であると言えます。ハッシュアルゴリズムを使用する人が増え、時間の経過に耐えられるほど安全になります。
これらのアルゴリズムは公開されており、あいまいさによるセキュリティを回避したいため、システムの安全性を高めるべきではありません。ただし、攻撃者があなたの行動や使用方法について知っていることが少ないほど、より良い結果が得られます。
これが問題を引き起こす最も可能性の高いシナリオは、攻撃者がライブラリの脆弱性を見つけた場合です。彼らがあなたがそれを使用していることを知らない場合、彼らはあなたに対してそれを使用することはできません.