缺少安全性的密碼

HTTPS 通訊協定可保護用戶資料在傳輸時不被竊聽與竄改,並保護其機密性與原始完整性。負責處理用戶資料的網站應使用 HTTPS 保護其用戶不受惡意駭客攻擊。如果沒有使用 HTTPS,竊取用戶資訊(如登入憑證)是小事一樁。著名的 Firesheep 附加套件曾示範過此種攻擊方式。

網站提供不安全的登入表單非常危險,因為許多已知的惡意攻擊手段都能用於對付它。竊聽者可以透過側錄該網路或修改傳輸頁面進行大量的惡意攻擊,並直接竊取用戶憑證或密碼。

Firefox Nightly 及 開發者版本的安全性指標


為了提醒您注意這種風險,當登入頁面的連線不安全時,Firefox 開發者版本會在網址列的左方顯示一個紅色劃叉的鎖頭警告標示,如下圖所示。

http://people.mozilla.org/~tvyas/insecure_password_images/insecure-password-security-ui.jpg

請注意,這個警告標示只會出現在 Firefox Nightly 及開發者版本。這項功能尚未新增到 Firefox 測試版 (Beta) 和 正式版。您也可以在任何版本的 Firefox 中存取網頁主控台的安全面板來檢視這種警告,如下所示。如果需要更多資訊及常見問題,請參考這篇部落格文章

重複使用相同密碼


網站有時會需要用戶名稱與密碼,但並不實際儲存敏感資料。例如,新聞網站可能會儲存用戶想要再次閱覽的文章,但不會儲存其它用戶資料。上述範例的網頁開發者可能較無動機保護他們的網站與用戶憑證。不幸的是,重複使用相同密碼是非常危險的。用戶在多個網站皆使用相同密碼(如新聞網站、社群網站、電子信箱等)。因此,即使非法存取貴網站的用戶名稱與密碼並不對您構成嚴重問題,對於在不同網站(如網路銀行)使用相同名稱與密碼的用戶而言,卻會造成嚴重威脅。攻擊者愈來愈聰明,他們會從一個網站竊取用戶名稱與密碼的配對,並在更有利可圖的網站上重複嘗試。

網頁主控台訊息


透過 HTTP 提供登入表單

即使表單是傳送到 HTTPS 網址,用戶的登入表單仍未被保護,因為攻擊者可以修改用戶接收到的頁面。例如,攻擊者可插入鍵盤側錄腳本,導致用戶輸入的資料外洩,或變更表單目的地為攻擊者控制的伺服器。網路主控台的安全面板會警告開發者及用戶,並標示這項安全性問題。

不安全頁面上的登入欄位

在表單行為中使用 HTTP 網址

在這種情況下,任何用戶輸入的資料都以明文傳送。對於任何側錄該網路的人,從資料送出到抵達網頁伺服器,用戶密碼都清楚可見。

使用 http:// 行為的登入欄位

文件標籤與貢獻者

 此頁面的貢獻者: jwhitlock, BaseChipmunk4
 最近更新: BaseChipmunk4,