Мы запустили рейтинг зарплат интернет-маркетологов! Прими участие в анонимном опросе.

Закрыть

How-to

– Читать 6 минут –

15 апреля 2019

Что такое <input type = "password"> и как это поле угрожает безопасности пользователя

АУДИТ САЙТА — СЕРТИФИКАТ HTTPS

Использование <input type="password"> на веб-страницах с HTTP-протоколом небезопасно, поскольку данные пользователей могут похитить хакеры. Защита данных пользователя обеспечивается использованием HTTPS-протокола.

Использование <input type="password"> в формах ввода данных на сайтах

Элемент формы для ввода пароля <input type="password"> предназначен для регистрации пользователей на сайте. Как правило, текст, который вводит пользователь в данное поле, заменяется в целях безопасности на специальные символы — звездочки или точки.

На мобильных устройствах введенный символ обычно на секунду показывается, чтобы пользователь мог убедиться в правильности ввода на небольшой виртуальной клавиатуре.

В данное поле можно добавить идентификатор либо название:

<input id="Pass_of_user" type="password">
<input type="password" name="my_password">

Данные, введенные пользователем, опасно передавать по незащищенному протоколу HTTP, поскольку при этом возникает угроза различных хакерских атак.

Существуют такие варианты незащищенного использования данных пользователей:

При отправке кода формы через HTTP-протокол хакер может изменить этот код и добавить в него скрипт, перехватывающий данные. Также в форму может быть внесен другой адрес, на который отправится личная информация пользователя.

Если данные, внесенные пользователем, передаются через HTTP-протокол, информация проходит по сети в незашифрованном формате. При этом пароль пользователя может перехватить системный администратор, интернет-провайдер и другие лица.

Размещение формы внутри фреймов, передаваемых по HTTP, даже если при этом основная страница передается по HTTPS. При таком варианте может быть похищен и видоизменен код фрейма.

Защита данных пользователя с помощью протокола HTTPS

Из-за небезопасности протокола HTTP необходимо на любых сайтах, где используются пользовательские данные, применять HTTPS. Данный протокол предназначен для защиты персональных данных пользователей от перехвата и изменения.

В браузерах для информирования пользователей о потенциальной угрозе на сайтах, использующих HTTP-протокол, отображаются предупреждения о незащищенности соединения. В Google Chrome — более категоричная формулировка:

Незащищенное подключение к сайту в Google Chrome

Согласно исследованию, около половины пользователей негативно реагируют на подобные сообщения браузера. При этом 46% этих пользователей не вводят на таких сайтах личную информацию, а 64% — сразу же покидают незащищенные ресурсы.

Яндекс.Браузер пока что сообщает о HTTP-протоколе сайта в более мягкой форме:

Обычное HTTP-соединение в Яндекс.Браузере

Предупреждения о небезопасности ресурса также могут негативно влиять на репутацию бренда. Учитывая совокупные данные о том, что HTTPS-протокол — фактор ранжирования, и влияние предупреждений браузеров на поведение посетителей, — специалисты однозначно рекомендуют перейти на безопасный протокол.

Чтобы на сайте не было сообщения, отпугивающего потенциальных клиентов, необходимо использовать SSL-сертификат, в таком случае сообщение браузера будет информировать о безопасности сайта:

Почему на всех сайтах важно обеспечивать безопасность личных данных пользователей

Бывают ситуации, когда новостные и развлекательные сайты, на которых посетители не вводят конфиденциальную и финансовую информацию, не относятся достаточно ответственно к хранению данных о логинах и паролях. В этом случае существует высокая угроза безопасности пользователей, которые используют одинаковые наборы логинов и паролей на различных сайтах.

Злоумышленники могут атаковать такой новостной портал, получить пароли и логины, а затем использовать их на других сайтах, содержащих важную финансовую информацию, например, сервисах онлайн-банкинга. Соответственно, обеспечение безопасности личных данных зависит не только от грамотных действий разработчиков сайта, но и от самих пользователей.

Существуют определенные правила использования паролей, которые сведут к минимуму угрозу похищения личных данных. Некоторые рекомендации по защите данных относятся к владельцам сайтов, другие — к пользователям.

Рекомендации для администраторов:

Длина пароля должна усложнять взлом методом полного перебора. Оптимальная длина — более шести символов, при наличии букв различных регистров, цифр и специальных символов.

Введенный пользователем пароль должен пройти проверку на соответствие данным требованиям.

На сайтах должна быть реализована блокировка учетных записей при неправильном вводе пароля в течение определенного количества раз.

Например, при трех неправильных вводах пароля можно заблокировать учетную запись на несколько минут или дольше. Это поможет значительно усложнить хакерские атаки с подбором паролей.

Регулярное изменение паролей через определенный промежуток времени. Для подбора сложного длинного пароля методом перебора хакеру может понадобиться более 90 дней.

Поэтому, предлагая пользователям менять пароли раз в 60 или 90 дней, можно обеспечить безопасное хранение их персональных данных.

Для безопасности сайта полезно переименовывать учетные записи администратора с популярных имен Administrator или Admin на индивидуальные. Также важно, чтобы в подобных учетных записях с широкими полномочиями были максимально сложные пароли, которые при этом должны регулярно обновляться.

В противном случае существует угроза взлома программами для автоматизированного подбора паролей (brute force).

Можно провести аудит паролей пользователей сайта, пытаясь их самостоятельно взломать хакерскими инструментами. Это поможет выявить проблемы безопасности до злоумышленников и устранить их, доработав сайт или указав неосторожным пользователям на их ошибки.

Рекомендации для пользователей:

желательно использовать бессмысленные сочетания букв и символов, не имеющие никакого отношения к личной информации;
пароли для разных сайтов должны отличаться. При невозможности их запомнить, можно использовать менеджеры паролей. Однако в этом случае необходимо крайне внимательно подобрать сложный пароль к данному инструменту.

Можно установить LastPass: Free Password Manager, который позволяет безопасно хранить пароли, адреса, заметки и прочие данные для автозаполнения форм:

Менеджер паролей LastPass: Free Password Manager для Google Chrome

Заключение

Безопасность передачи и хранения пользовательских данных — один из приоритетов в работе любого сайта.

Обеспечить защиту персональных данных можно использованием протокола HTTPS.

Важно следить за надежностью паролей, которые вводят пользователи, добавляя соответствующие проверки и рекомендации.

Полезно регулярно предлагать изменять пароль в учетных записях пользователей, чтобы снизить риск их взлома.

Пароли администраторов должны быть максимально сложными, нужно не забывать менять их как можно чаще.

Эта статья — часть модуля «Аудит сайта» в Serpstat

Аудит всего сайта или отдельной страницы в один клик. Полный список ошибок, отсортированный по критичности, пути их устранения и рекомендации. Любая периодичность проверки и автоматическая рассылка отчетов на почту.

Запустить аудит сайта