宣传bcrypt的使用安全(或者说是个好主意)吗？

Question

因此，我们的数据库使用具有高迭代/成本的bcrypt来存储用户密码。我们正在使用https，就像聪明人一样，我们继续努力寻找方法，在其他人之前避开我们自己的安全。

话虽如此，我们正以新的界面开始新的营销攻势，营销人员想知道我们是否可以/应该/不应该使用bcrypt作为我们功能页面上的卖点。

似乎有那么多的大型组织不使用安全密码哈希方法，即使它有点悲哀，使用类似bcrypt的东西似乎是一个区分器。

所以，我想问的问题是，我们使用bcrypt的广告是否会在我们的背上画一个目标。我经常看到“我们使用https”的广告，但我没有看到任何关于密码存储策略的内容。

我不需要知道这是否是一个好的营销策略，我想知道的是，如果我们做广告宣传bcrypt的使用，它是否会使我们面临更大的危险。

谢谢你的想法。

Answer 1

通常的观点是这样的:如果描述您使用的算法不安全，那么您就有了一个更大的问题。因此，您应该能够向世界宣布，您使用bcrypt不会对安全产生不良影响。实际上，我们必须假设攻击者已经知道您使用了bcrypt (如果他有可能造成伤害，那么他可能会看到您的代码；此外，来自常规bcrypt实现的bcrypt输出具有相当可识别的格式)。

从市场营销的角度来看，从营销的角度来看，将bcrypt的使用转化为销售宣传是另一回事。就我个人而言，我认为说“我们使用HTTPS，所有密码都使用bcrypt存储”将不会对“我们使用HTTPS”的更简单的“有害”。我不能说这会有好处。此外，还有一件事是过于技术性的，因为你可能会不经意地显示自己是“一群极客”，这可能会或不会吸引到你想要的顾客群体。这都取决于您想要投射的图像类型，以及预期站点用户的平均心理特征。

Answer 2

听起来你的态度是正确的，而且你问的问题也不错。

当某人执行渗透测试时，他们通常会寻找的事情之一是可能帮助攻击者的信息泄漏。例如，一个告诉apache正在运行并且特定版本对想要黑您的网站的人有用的网站。所以告诉世界你用的是bcrypt就会告诉任何想要黑你的人。

然后，如果攻击者知道您正在使用bcrypt，那么它们可能就不太可能针对您，因为您可能会将您的东西放在一起，因此从攻击者的知识角度来看，可能存在成本和好处。

不过，真正让我印象深刻的是，你的大多数潜在客户不太可能首先知道bcrypt是什么，所以你说你使用它不太可能销售你的产品。仅仅说你的密码加密比行业标准要好，而且你有保护客户信息的坚定承诺，这对大多数客户来说就足够了，诚实对他们来说更有意义。所以你会把你的产品的信息泄露给攻击者，而不会带来任何真正的好处。

Answer 3

假装你是购买自己产品的顾客。如果你看到产品“有bcrypt!”这会使你更有可能购买它吗？考虑到这一点，考虑到您可能比大多数客户拥有更多的安全经验。他们知道bcrypt是什么吗，还是会分散他们对你其他卖点的注意力？如果这是给技术观众的话，说“我们使用bcrypt”并不能说明什么。太好了，你用的是盐，但你用盐吗？即使没有盐的地窖，也可以使用彩虹桌。对于技术受众来说，如果这是理由的话，就会得到第三方审计。否则，分散你主要卖点的注意力是不值得的。