(alternativa: security by obscurity) Un termine dato dagli hacker al modo preferito dalla maggior parte dei produttori di OS per gestire i buchi di sicurezza — come dice il nome, ignorandoli, non documentando né le falle conosciute né gli algoritmi di sicurezza dello strato sottostante, confidando nel fatto che nessuno li scoprirà o che quelli che ci riusciranno non li sfrutteranno. Questa “strategia” non funziona mai a lungo e occasionalmente fa parlare tutto il mondo per fallimenti come il worm RTM nel 1988 (vedi Great Worm), ma una volta che i brevi momenti di panico creati da eventi del genere si placano la maggior parte dei produttori vuole troppo girarsi e andarsene a dormire. Dopotutto, correggere davvero il bug avrebbe fatto defluire le risorse necessarie per implementare il prossimo fronzolo sull'interfaccia grafica sulla lista dei desideri del marketing — e inoltre, se iniziassero a correggere i bug di sicurezza i clienti potrebbero iniziare ad aspettarselo e immaginare che le garanzie di commercio diano loro qualche sorta di diritto ad avere un sistema con meno falle piuttosto che una groviera, e allora dove andremo a finire?

Nota storica: ci sono storie in conflitto sulle origini del termini. E' stato affermato che fu usato la prima volta nel newsgroup Usenet comp.sys.apollo durante una campagna per far sì che HP/Apollo correggere i problemi di sicurezza nel suo clone Unix Aegis/DomainOS (non cambiarono una virgola). I fan di ITS, d'altro canto, dicono che fu coniato anni prima per contrastare le persone incredibilmente paranoiche di Multics per le quali la sicurezza era ovunque. Nella cultura ITS si riferiva a (1) il fatto che non appena un tourista capisce come fare guai in genere avrebb perso l'urgenza di farlo, perchè si sarebbe sentito parte della comunità; e (2) (si prende in giro da solo) la scarsità di documentazione e oscurantismo su molti comandi. Si registra un esempio di sicurezza tramite oscurità deliberato; il comando per permettere di patchare il sistema ITS corrente (escape escape control-R) mostrato come $$^D. Se premevi in realtà alt alt^D, si impostava un flag che ti avrebbe impedito di patchare il sistema anche se dopo lo facevi bene.