Seguridad por oscuridad

La seguridad por oscuridad es la creencia de que cualquier sistema puede ser seguro mientras nadie fuera de su grupo de implementación de seguridad se le permita conocer nada de sus mecanismos internos. Ocultando contraseñas en archivos binarios o esconder scripts suponiendo que "nadie lo va a encontrar nunca" es un buen ejemplo de Seguridad por oscuridad.

La seguridad por oscuridad es la principal filosofía de las agencias burocráticas, y es el método más utilizado para proveer "pseudoseguridad" en sistemas de computo.

Esta filosofía ha ido decreciendo en el mundo de la computación con el aumento de los sistemas abiertos, Internet, la mayor comprensión de técnicas de programación, y también el crecimiento de conocimiento computacional en una persona promedio.

Las bases de la seguridad por oscuridad es que si una persona no sabe como hacer algo para tener un impacto en la seguridad del sistema, entonces esa persona no es peligrosa.

Sin duda, esto es en teoría, ya que esto te ata a confiar en un pequeño grupo de personas, tanto tiempo, como el que ellos vivan. Si tus empleados tiene una mejor oferta o les pagan mejor en otro lugar, sus conocimientos se van con ellos, ya sea que ese conocimiento sea reemplazable o no. Una vez que los secretos están fuera, ahí esta el fin de nuestra seguridad.

Actualmente hay una gran necesidad de los usuarios ordinarios por conocer detalles de como funciona su sistema como nunca antes, y como resultado la Seguridad por oscuridad falla. Hoy en día muchos usuarios tienen conocimientos avanzados de como funcionan sus sistemas operativos, y porque toda su experiencia le permite obtener todo el conocimiento que el "necesite obtener".

Esto esquiva todas las bases de la seguridad por oscuridad, y hace tu seguridad inútil.

Por lo tanto actualmente existe la necesidad de crear sistemas que intenten ser algorítmicamente seguros (Kerberos, Secure RPC), que es mejor que ser filosóficamente seguro.

El sistema "Shadow" para contraseñas en muchas ocasiones se incluyen en el grupo de la seguridad por oscuridad, pero esto es incorrecto, ya que la seguridad por oscuridad depende de restringir el acceso a algún algoritmo o técnica, mientras que las contraseñas Shadow nos proveen seguridad restringiendo el acceso a datos vitales.