Entry № 1111
靠隐蔽求安全(Security by Obscurity)
靠隐蔽求安全(Security by Obscurity) 是什么?
靠隐蔽求安全(Security by Obscurity)把保密系统的设计、实现或位置当作主要防御手段,而不是依靠其内在强度的做法。
靠隐蔽求安全假设攻击者只要不知道系统如何工作、放在哪里或用什么算法就无法得手。1883 年的 Kerckhoffs 原则否定这一观点:即便除密钥外所有信息都公开,密码系统也必须保持安全。隐藏的管理 URL、自研专有密码学、未公布的端口、改名换姓的安全策略,在扫描器、泄露、逆向工程和内部威胁面前都会迅速崩塌。NIST 与 ISO 视隐蔽性最多为纵深防御的一部分——只能略微增加攻击成本,绝不能替代强认证、认证加密、加固、监控与补丁管理。
● 示例
- 01
把管理后台藏在 /supersecret-admin,但认证仍很薄弱。
- 02
自研一套"加密算法",而不是使用 AES-GCM。
● 常见问题
靠隐蔽求安全(Security by Obscurity) 是什么?
把保密系统的设计、实现或位置当作主要防御手段,而不是依靠其内在强度的做法。 它属于网络安全的 合规与框架 分类。
靠隐蔽求安全(Security by Obscurity) 是什么意思?
把保密系统的设计、实现或位置当作主要防御手段,而不是依靠其内在强度的做法。
如何防御 靠隐蔽求安全(Security by Obscurity)?
针对 靠隐蔽求安全(Security by Obscurity) 的防御通常结合技术控制与运营实践,详见上方完整定义。