Bizonytalanságon alapuló biztonság

A Wikipédiából, a szabad enciklopédiából

A bizonytalanságon alapuló biztonság vagy titkolózáson alapuló biztonság (ang.: security by/through obscurity) az informatikai biztonság területén alkalmazott irányelv, melynek lényege, hogy egy rendszer elemeinek (designjának, megvalósításának) eltitkolásával próbálja megteremteni annak biztonságát. A titkolózáson alapuló biztonságra épülő rendszerben lehetnek elméleti vagy tényleges biztonsági rések, de üzemeltetői vagy tervezői úgy vélik, hogy ezeket a réseket (rajtuk kívül) senki nem ismeri, és valószínűtlen, hogy a támadónak sikerül megtalálnia azokat. A bizonytalanságon alapuló biztonságot felhasználhatják a mélységi védelem vagy többrétegű védelem (defense in depth) kiépítésére is; bár az ismert biztonsági rések súlyosságát csökkenthetik az egyéb védelmek, a rendszerben felhasznált termékek és verziószámok közzététele megkönnyíti a rendszer elleni támadás kivitelezését. A támadó első lépése általában az információgyűjtés; ebben valamelyest lelassíthatja a titkolózáson alapuló biztonság alkalmazása. Az irányelv ellentéte a tervezett biztonság, bár a való életben általában a két stratégia elemeit együttesen alkalmazzák.

Források[szerkesztés | forrásszöveg szerkesztése]