不安全密碼
透過 HTTP 提供登入表單尤其危險,因為可以使用各種攻擊來提取使用者的密碼。網路竊聽者可以透過嗅探網路或在傳輸過程中修改頁面來竊取使用者的密碼。
HTTPS 協議旨在保護使用者資料免遭網路竊聽(機密性)和篡改(完整性)。處理使用者資料的網站應使用 HTTPS 來保護使用者免受攻擊者的侵害。如果網站使用 HTTP 而不是 HTTPS,那麼竊取使用者憑據(例如登入憑據)將輕而易舉。這一點已透過 Firesheep 得到充分證明。
要解決此問題,請在伺服器上安裝和配置 TLS 證書。有各種供應商提供免費和付費證書。如果您使用的是雲平臺,它可能有自己的啟用 HTTPS 的方式。
關於密碼重用的注意事項
有時網站需要使用者名稱和密碼,但實際上並不儲存非常敏感的資料。例如,新聞網站可能會儲存使用者想要返回閱讀的新聞文章,但不會儲存任何其他關於使用者的資料。新聞網站的 Web 開發人員可能不太願意保護其網站及其使用者憑據。
不幸的是,密碼重用是一個大問題。使用者在多個網站(新聞網站、社交網路、電子郵件提供商、銀行)上使用相同的密碼。因此,即使訪問您網站的使用者名稱和密碼似乎對您來說風險不大,但對於那些使用相同使用者名稱和密碼登入銀行賬戶的使用者來說,風險卻很大。攻擊者越來越聰明;他們竊取一個網站的使用者名稱/密碼對,然後嘗試在更有利可圖的網站上重複使用它們。
另見
- 請不要再透過 HTTP 傳輸密碼了! — 詳細的部落格文章,包含更多資訊和常見問題解答。