Seguranca por obscuridade
O que é Seguranca por obscuridade?
Seguranca por obscuridadeAbordagem que confia em manter em segredo o design, a implementacao ou a localizacao do sistema como defesa principal, em vez da sua solidez intrinseca.
A seguranca por obscuridade assume que o atacante falha porque desconhece o funcionamento, a localizacao ou o algoritmo do sistema. O principio de Kerckhoffs (1883) rejeita isso: um sistema cripto deve permanecer seguro mesmo com tudo, exceto a chave, publico. URLs de admin escondidos, cripto proprietaria, portas nao publicadas ou simples rebranding caem perante scanners, fugas, engenharia reversa e insiders. NIST e ISO veem a obscuridade, no maximo, como uma camada de defesa em profundidade: um pequeno custo extra para o atacante, nunca substituto para autenticacao forte, cifragem autenticada, hardening, monitorizacao e patching.
● Exemplos
- 01
Esconder o painel de admin em /supersecret-admin mantendo autenticacao fraca.
- 02
Inventar uma "cifragem propria" em vez de usar AES-GCM.
● Perguntas frequentes
O que é Seguranca por obscuridade?
Abordagem que confia em manter em segredo o design, a implementacao ou a localizacao do sistema como defesa principal, em vez da sua solidez intrinseca. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Seguranca por obscuridade?
Abordagem que confia em manter em segredo o design, a implementacao ou a localizacao do sistema como defesa principal, em vez da sua solidez intrinseca.
Como funciona Seguranca por obscuridade?
A seguranca por obscuridade assume que o atacante falha porque desconhece o funcionamento, a localizacao ou o algoritmo do sistema. O principio de Kerckhoffs (1883) rejeita isso: um sistema cripto deve permanecer seguro mesmo com tudo, exceto a chave, publico. URLs de admin escondidos, cripto proprietaria, portas nao publicadas ou simples rebranding caem perante scanners, fugas, engenharia reversa e insiders. NIST e ISO veem a obscuridade, no maximo, como uma camada de defesa em profundidade: um pequeno custo extra para o atacante, nunca substituto para autenticacao forte, cifragem autenticada, hardening, monitorizacao e patching.
Como se defender contra Seguranca por obscuridade?
As defesas contra Seguranca por obscuridade costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- compliance№ 299
Defesa em Profundidade
Estrategia de seguranca que empilha controlos independentes para que, se um falhar, outros continuem a prevenir, detetar ou conter um ataque.
- cryptography№ 249
Criptografia
Ciência que protege a informação por meio de técnicas matemáticas que garantem confidencialidade, integridade, autenticidade e não repúdio na presença de adversários.
- appsec№ 982
Codificação segura
Prática de escrever código-fonte minimizando defeitos de segurança, seguindo padrões defensivos, regras específicas da linguagem e diretrizes reconhecidas.
- appsec№ 1150
Modelagem de ameaças
Análise estruturada que identifica os ativos, ameaças, vulnerabilidades e mitigações de um sistema para integrar a segurança desde o desenho.
- identity-access№ 854
Princípio do menor privilégio
Princípio de segurança que concede a cada utilizador, processo ou serviço apenas os privilégios estritamente necessários para desempenhar a sua função.