Мы используем файлы cookie для обеспечения работоспособности сервиса, улучшения навигации и маркетинговых активностей Serpstat. Нажимая "Принять и продолжить", вы соглашаетесь с нашей Политика конфиденциальности

Сообщить об ошибке

Отменить
3947
How-to Читать 8 минут

Что такое <input type = "password"> и почему это поле угрожает безопасности пользователя

Поле ввода пароля
АУДИТ САЙТА — СЕРТИФИКАТ HTTPS
Что такое input type = password и почему это поле угрожает безопасности пользователя 16261788257755
Мария Васильева
Customer Support Specialist at Serpstat
Использование <input type="password"> на веб-страницах с HTTP-протоколом небезопасно, поскольку данные пользователей могут похитить хакеры. Защита данных пользователя обеспечивается использованием HTTPS-протокола.

Использование <input type="password"> в формах ввода данных на сайтах

Элемент формы для ввода пароля <input type="password"> предназначен для регистрации пользователей на сайте. Как правило, текст, который вводит пользователь в данное поле, заменяется в целях безопасности на специальные символы — звездочки или точки.

На мобильных устройствах введенный символ обычно на секунду показывается, чтобы пользователь мог убедиться в правильности ввода на небольшой виртуальной клавиатуре.

В данное поле можно добавить идентификатор либо название:
<input id="Pass_of_user" type="password">
<input type="password" name="my_password">
Данные, введенные пользователем, опасно передавать по незащищенному протоколу HTTP, поскольку при этом возникает угроза различных хакерских атак.

Существуют такие варианты незащищенного использования данных пользователей:
1
При отправке кода формы через HTTP-протокол хакер может изменить этот код и добавить в него скрипт, перехватывающий данные. Также в форму может быть внесен другой адрес, на который отправится личная информация пользователя.
2
Если данные, внесенные пользователем, передаются через HTTP-протокол, информация проходит по сети в незашифрованном формате. При этом пароль пользователя может перехватить системный администратор, интернет-провайдер и другие лица.
3
Размещение формы внутри фреймов, передаваемых по HTTP, даже если при этом основная страница передается по HTTPS. При таком варианте может быть похищен и видоизменен код фрейма.

Защита данных пользователя с помощью протокола HTTPS

Из-за небезопасности протокола HTTP необходимо на любых сайтах, где используются пользовательские данные, применять HTTPS. Данный протокол предназначен для защиты персональных данных пользователей от перехвата и изменения.

В браузерах для информирования пользователей о потенциальной угрозе на сайтах, использующих HTTP-протокол, отображаются предупреждения о незащищенности соединения. В Google Chrome — более категоричная формулировка:
Незащищенное подключение к сайту в Google Chrome
Согласно исследованию, около половины пользователей негативно реагируют на подобные сообщения браузера. При этом 46% этих пользователей не вводят на таких сайтах личную информацию, а 64% — сразу же покидают незащищенные ресурсы.

Яндекс.Браузер пока что сообщает о HTTP-протоколе сайта в более мягкой форме:
Обычное HTTP-соединение в Яндекс.Браузере
Предупреждения о небезопасности ресурса также могут негативно влиять на репутацию бренда. Учитывая совокупные данные о том, что HTTPS-протокол — фактор ранжирования, и влияние предупреждений браузеров на поведение посетителей, — специалисты однозначно рекомендуют перейти на безопасный протокол.

Чтобы на сайте не было сообщения, отпугивающего потенциальных клиентов, необходимо использовать SSL-сертификат, в таком случае сообщение браузера будет информировать о безопасности сайта:
Безопасное подключение в Google Chrome

Почему на всех сайтах важно обеспечивать безопасность личных данных пользователей

Бывают ситуации, когда новостные и развлекательные сайты, на которых посетители не вводят конфиденциальную и финансовую информацию, не относятся достаточно ответственно к хранению данных о логинах и паролях. В этом случае существует высокая угроза безопасности пользователей, которые используют одинаковые наборы логинов и паролей на различных сайтах.

Злоумышленники могут атаковать такой новостной портал, получить пароли и логины, а затем использовать их на других сайтах, содержащих важную финансовую информацию, например, сервисах онлайн-банкинга. Соответственно, обеспечение безопасности личных данных зависит не только от грамотных действий разработчиков сайта, но и от самих пользователей.

Существуют определенные правила использования паролей, которые сведут к минимуму угрозу похищения личных данных. Некоторые рекомендации по защите данных относятся к владельцам сайтов, другие — к пользователям.
Рекомендации для администраторов:
1
Длина пароля должна усложнять взлом методом полного перебора. Оптимальная длина — более шести символов, при наличии букв различных регистров, цифр и специальных символов.

Введенный пользователем пароль должен пройти проверку на соответствие данным требованиям.
2
На сайтах должна быть реализована блокировка учетных записей при неправильном вводе пароля в течение определенного количества раз.

Например, при трех неправильных вводах пароля можно заблокировать учетную запись на несколько минут или дольше. Это поможет значительно усложнить хакерские атаки с подбором паролей.
3
Регулярное изменение паролей через определенный промежуток времени. Для подбора сложного длинного пароля методом перебора хакеру может понадобиться более 90 дней.

Поэтому, предлагая пользователям менять пароли раз в 60 или 90 дней, можно обеспечить безопасное хранение их персональных данных.
4
Для безопасности сайта полезно переименовывать учетные записи администратора с популярных имен Administrator или Admin на индивидуальные. Также важно, чтобы в подобных учетных записях с широкими полномочиями были максимально сложные пароли, которые при этом должны регулярно обновляться.

В противном случае существует угроза взлома программами для автоматизированного подбора паролей (brute force).
5
Можно провести аудит паролей пользователей сайта, пытаясь их самостоятельно взломать хакерскими инструментами. Это поможет выявить проблемы безопасности до злоумышленников и устранить их, доработав сайт или указав неосторожным пользователям на их ошибки.
Рекомендации для пользователей:

  • желательно использовать бессмысленные сочетания букв и символов, не имеющие никакого отношения к личной информации;

  • пароли для разных сайтов должны отличаться. При невозможности их запомнить, можно использовать менеджеры паролей. Однако в этом случае необходимо крайне внимательно подобрать сложный пароль к данному инструменту.

Можно установить LastPass: Free Password Manager, который позволяет безопасно хранить пароли, адреса, заметки и прочие данные для автозаполнения форм:
Менеджер паролей LastPass: Free Password Manager для Google Chrome
Чтобы быстро узнать какие проблемы есть у твоего сайта и получить рекомендации по их устранению, нажимай на Проверить свой сайт.
Хотите узнать, как с помощью Serpstat найти и исправить технические ошибки на сайте?
Оставьте заявку и наши специалисты проконсультируют вас по продвижению вашего проекта, поделятся учебными материалами и инсайтами рынка!

Заключение

1
Безопасность передачи и хранения пользовательских данных — один из приоритетов в работе любого сайта.
2
Обеспечить защиту персональных данных можно использованием протокола HTTPS.
3
Важно следить за надежностью паролей, которые вводят пользователи, добавляя соответствующие проверки и рекомендации.
4
Полезно регулярно предлагать изменять пароль в учетных записях пользователей, чтобы снизить риск их взлома.
5
Пароли администраторов должны быть максимально сложными, нужно не забывать менять их как можно чаще.
Задавайте вопросы в комментариях или пишите в техподдержку.:) А также вступайте в чат любителей Серпстатить и подписывайтесь на наш канал в Telegram.

Сэкономьте время на изучении Serpstat

Хотите получить персональную демонстрацию сервиса, тестовый период или эффективные кейсы использования Serpstat?

Оставьте заявку и мы свяжемся с вами ;)

Оцените статью по 5-бальной шкале

5 из 5 на основе 9 оценок
Нашли ошибку? Выделите её и нажмите Ctrl + Enter, чтобы сообщить нам.