不安全的密码
通过 HTTP 提供登录表单尤其危险,因为可以利用各种攻击来提取用户的密码。网络窃听者可以通过嗅探网络或在传输过程中修改已提供的页面来窃取用户的密码。
HTTPS 协议旨在保护用户数据免遭网络上的窃听 (机密性) 和修改 (完整性)。处理用户数据的网站应使用 HTTPS 来保护用户免受攻击者的攻击。如果网站使用 HTTP 而不是 HTTPS,那么窃取用户信息 (例如其登录凭据) 将轻而易举。这在 Firesheep 中得到了著名的证明。
要解决此问题,请在您的服务器上安装和配置 TLS 证书。有各种供应商提供免费和付费证书。如果您使用的是云平台,它可能拥有自己启用 HTTPS 的方法。
关于密码重用的说明
有时,网站需要用户名和密码,但实际上并没有存储非常敏感的数据。例如,新闻网站可能会保存用户希望返回阅读的新闻文章,但不会保存有关用户的任何其他数据。新闻网站的 Web 开发人员可能没有动力保护其网站及其用户凭据。
不幸的是,密码重用是一个大问题。用户在多个网站 (新闻网站、社交网络、电子邮件提供商、银行) 上使用相同的密码。因此,即使访问您网站的用户名和密码对您来说似乎不是什么大风险,但对使用相同的用户名和密码登录其银行帐户的用户来说,这是一个巨大的风险。攻击者越来越聪明;他们从一个网站窃取用户名/密码对,然后尝试在更有利可图的网站上重复使用这些信息。
另请参阅
- 请不要再使用 HTTP 传输密码! — 包含更多信息和常见问题的详细博客文章。