Seguranca por obscuridade
O que é Seguranca por obscuridade?
Seguranca por obscuridadeAbordagem que confia em manter em segredo o design, a implementacao ou a localizacao do sistema como defesa principal, em vez da sua solidez intrinseca.
A seguranca por obscuridade assume que o atacante falha porque desconhece o funcionamento, a localizacao ou o algoritmo do sistema. O principio de Kerckhoffs (1883) rejeita isso: um sistema cripto deve permanecer seguro mesmo com tudo, exceto a chave, publico. URLs de admin escondidos, cripto proprietaria, portas nao publicadas ou simples rebranding caem perante scanners, fugas, engenharia reversa e insiders. NIST e ISO veem a obscuridade, no maximo, como uma camada de defesa em profundidade: um pequeno custo extra para o atacante, nunca substituto para autenticacao forte, cifragem autenticada, hardening, monitorizacao e patching.
● Exemplos
- 01
Esconder o painel de admin em /supersecret-admin mantendo autenticacao fraca.
- 02
Inventar uma "cifragem propria" em vez de usar AES-GCM.
● Perguntas frequentes
O que é Seguranca por obscuridade?
Abordagem que confia em manter em segredo o design, a implementacao ou a localizacao do sistema como defesa principal, em vez da sua solidez intrinseca. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Seguranca por obscuridade?
Abordagem que confia em manter em segredo o design, a implementacao ou a localizacao do sistema como defesa principal, em vez da sua solidez intrinseca.
Como se defender contra Seguranca por obscuridade?
As defesas contra Seguranca por obscuridade costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.