不安全密码
通过 HTTP 提供登录表单尤其危险,因为可以使用各种攻击来提取用户的密码。网络窃听者可以通过嗅探网络或在传输过程中修改页面来窃取用户的密码。
HTTPS 协议旨在保护用户数据免遭网络窃听(机密性)和篡改(完整性)。处理用户数据的网站应使用 HTTPS 来保护用户免受攻击者的侵害。如果网站使用 HTTP 而不是 HTTPS,那么窃取用户凭据(例如登录凭据)将轻而易举。这一点已通过 Firesheep 得到充分证明。
要解决此问题,请在服务器上安装和配置 TLS 证书。有各种供应商提供免费和付费证书。如果您使用的是云平台,它可能有自己的启用 HTTPS 的方式。
关于密码重用的注意事项
有时网站需要用户名和密码,但实际上并不存储非常敏感的数据。例如,新闻网站可能会保存用户想要返回阅读的新闻文章,但不会保存任何其他关于用户的数据。新闻网站的 Web 开发人员可能不太愿意保护其网站及其用户凭据。
不幸的是,密码重用是一个大问题。用户在多个网站(新闻网站、社交网络、电子邮件提供商、银行)上使用相同的密码。因此,即使访问您网站的用户名和密码似乎对您来说风险不大,但对于那些使用相同用户名和密码登录银行账户的用户来说,风险却很大。攻击者越来越聪明;他们窃取一个网站的用户名/密码对,然后尝试在更有利可图的网站上重复使用它们。
另见
- 请不要再通过 HTTP 传输密码了! — 详细的博客文章,包含更多信息和常见问题解答。