Si. La transparencia sobre sus mecanismos de hash de contraseña es (casi) siempre algo bueno. Si sus contraseñas se escriben correctamente, no hay peligro de seguridad al revelar los detalles. Negarse a revelar cómo sus hash de las contraseñas serán tomadas por clientes expertos y posibles atacantes como una señal de que no las está usando correctamente.
Cosas buenas que decir
Decir, por ejemplo, “usamos hash SHA1 con una sal de ocho bytes” no los pondrá a usted ni a sus usuarios en riesgo.
- ¿Puedo obtener rango en SERP con un sitio web de una sola página como Coconex.com? ¿Cuáles son las mejoras necesarias para este sitio con respecto a su página?
- ¿Cuáles son los mejores sitios web para libros en línea?
- ¿Cuál es la mejor manera de simular animaciones para sitios web?
- ¿Dónde puedo obtener buenos temas y plantillas para mi sitio web?
- Cómo ejecutar la seguridad del sitio
Al decir “usamos scrypt” (o algún otro algoritmo de hash de contraseña “lento” como bcrypt, PBKDF2, Argon2) se comunicará que comprende completamente los riesgos de almacenar hashes de contraseña y que ha tomado medidas adicionales para proteger a sus clientes.
No tan buenas cosas que decir
Decir “seguimos las mejores prácticas de la industria” (sin más detalles) parece que no sabes lo que estás haciendo y eres evasivo.
Decir “encriptamos sus contraseñas” realmente suena como si no supiera lo que está haciendo a menos que se corrija una explicación adicional.
Cosas para hacer
Si no está en condiciones de decir algo así como las cosas buenas que decir, entonces corríjalo de inmediato. Pero una negativa a decir cómo se manejan las contraseñas y el hash se tomará como una señal de que se manejan mal. Por lo tanto, por la seguridad de su servicio, la seguridad de sus clientes y su propia reputación, esto se arreglará lo antes posible.
