当涉及到密码安全性时,人们会达成一致的意见,比如存储密码的盐渍散列,从而对受损的模型和数据进行统计防御。混淆安全模型是否在密码安全中占有一席之地?
有些人似乎不同意与盐有关。有很多技术可以用来保护盐类,但许多专家认为它们只是对安全模型的毫无意义的混淆,随着时间的推移,模型会暴露出来,我发现自己不同意与此,但我可能不了解其他观点。
我不明白的是,如果你的模型受到损害,你为什么应该假设一个完全的妥协而不是部分?如果您的安全模型分布在不同的基础架构中,而这些基础架构并非同等安全,则部分妥协可能不成问题。 (如果你这样做,比如说,加密salt并从更不安全的环境中检索加密密钥)
我假设妥协并不总是100% 。我从来没有一个系统被黑客攻击过,也没有被黑客攻击过,所以我没有完整的图片。
您在设计应用程序安全性时必须做出假设。 – Thomas
不在安全方面。您不应该。 – Cratylus
@Thomas如果你认为最糟糕的,你会有一个更安全的应用程序。 – glenatron