Serpstat использует файлы cookie для обеспечения работоспособности сервиса, улучшения навигации, предоставления возможности связаться с командой поддержки, а также маркетинговых активностей Serpstat.

Нажав кнопку "Принять и продолжить", вы соглашаетесь с Политики конфиденциальности

Принять и продолжить

Сообщить об ошибке

Отменить
915
How-to Читать 6 минут 15 апреля 2019

Что такое <input type = "password"> и как это поле угрожает безопасности пользователя

Поле ввода пароля
АУДИТ САЙТА — СЕРТИФИКАТ HTTPS
Использование <input type="password"> на веб-страницах с HTTP-протоколом небезопасно, поскольку данные пользователей могут похитить хакеры. Защита данных пользователя обеспечивается использованием HTTPS-протокола.

Использование <input type="password"> в формах ввода данных на сайтах

Элемент формы для ввода пароля <input type="password"> предназначен для регистрации пользователей на сайте. Как правило, текст, который вводит пользователь в данное поле, заменяется в целях безопасности на специальные символы — звездочки или точки.

На мобильных устройствах введенный символ обычно на секунду показывается, чтобы пользователь мог убедиться в правильности ввода на небольшой виртуальной клавиатуре.

В данное поле можно добавить идентификатор либо название:
<input id="Pass_of_user" type="password">
<input type="password" name="my_password">
Данные, введенные пользователем, опасно передавать по незащищенному протоколу HTTP, поскольку при этом возникает угроза различных хакерских атак.

Существуют такие варианты незащищенного использования данных пользователей:
1
При отправке кода формы через HTTP-протокол хакер может изменить этот код и добавить в него скрипт, перехватывающий данные. Также в форму может быть внесен другой адрес, на который отправится личная информация пользователя.
2
Если данные, внесенные пользователем, передаются через HTTP-протокол, информация проходит по сети в незашифрованном формате. При этом пароль пользователя может перехватить системный администратор, интернет-провайдер и другие лица.
3
Размещение формы внутри фреймов, передаваемых по HTTP, даже если при этом основная страница передается по HTTPS. При таком варианте может быть похищен и видоизменен код фрейма.

Защита данных пользователя с помощью протокола HTTPS

Из-за небезопасности протокола HTTP необходимо на любых сайтах, где используются пользовательские данные, применять HTTPS. Данный протокол предназначен для защиты персональных данных пользователей от перехвата и изменения.

В браузерах для информирования пользователей о потенциальной угрозе на сайтах, использующих HTTP-протокол, отображаются предупреждения о незащищенности соединения. В Google Chrome — более категоричная формулировка:
Незащищенное подключение к сайту в Google Chrome
Согласно исследованию, около половины пользователей негативно реагируют на подобные сообщения браузера. При этом 46% этих пользователей не вводят на таких сайтах личную информацию, а 64% — сразу же покидают незащищенные ресурсы.

Яндекс.Браузер пока что сообщает о HTTP-протоколе сайта в более мягкой форме:
Обычное HTTP-соединение в Яндекс.Браузере
Предупреждения о небезопасности ресурса также могут негативно влиять на репутацию бренда. Учитывая совокупные данные о том, что HTTPS-протокол — фактор ранжирования, и влияние предупреждений браузеров на поведение посетителей, — специалисты однозначно рекомендуют перейти на безопасный протокол.

Чтобы на сайте не было сообщения, отпугивающего потенциальных клиентов, необходимо использовать SSL-сертификат, в таком случае сообщение браузера будет информировать о безопасности сайта:
Безопасное подключение в Google Chrome

Почему на всех сайтах важно обеспечивать безопасность личных данных пользователей

Бывают ситуации, когда новостные и развлекательные сайты, на которых посетители не вводят конфиденциальную и финансовую информацию, не относятся достаточно ответственно к хранению данных о логинах и паролях. В этом случае существует высокая угроза безопасности пользователей, которые используют одинаковые наборы логинов и паролей на различных сайтах.

Злоумышленники могут атаковать такой новостной портал, получить пароли и логины, а затем использовать их на других сайтах, содержащих важную финансовую информацию, например, сервисах онлайн-банкинга. Соответственно, обеспечение безопасности личных данных зависит не только от грамотных действий разработчиков сайта, но и от самих пользователей.

Существуют определенные правила использования паролей, которые сведут к минимуму угрозу похищения личных данных. Некоторые рекомендации по защите данных относятся к владельцам сайтов, другие — к пользователям.

Рекомендации для администраторов:
1
Длина пароля должна усложнять взлом методом полного перебора. Оптимальная длина — более шести символов, при наличии букв различных регистров, цифр и специальных символов.

Введенный пользователем пароль должен пройти проверку на соответствие данным требованиям.
2
На сайтах должна быть реализована блокировка учетных записей при неправильном вводе пароля в течение определенного количества раз.

Например, при трех неправильных вводах пароля можно заблокировать учетную запись на несколько минут или дольше. Это поможет значительно усложнить хакерские атаки с подбором паролей.
3
Регулярное изменение паролей через определенный промежуток времени. Для подбора сложного длинного пароля методом перебора хакеру может понадобиться более 90 дней.

Поэтому, предлагая пользователям менять пароли раз в 60 или 90 дней, можно обеспечить безопасное хранение их персональных данных.
4
Для безопасности сайта полезно переименовывать учетные записи администратора с популярных имен Administrator или Admin на индивидуальные. Также важно, чтобы в подобных учетных записях с широкими полномочиями были максимально сложные пароли, которые при этом должны регулярно обновляться.

В противном случае существует угроза взлома программами для автоматизированного подбора паролей (brute force).
5
Можно провести аудит паролей пользователей сайта, пытаясь их самостоятельно взломать хакерскими инструментами. Это поможет выявить проблемы безопасности до злоумышленников и устранить их, доработав сайт или указав неосторожным пользователям на их ошибки.
Рекомендации для пользователей:

  • желательно использовать бессмысленные сочетания букв и символов, не имеющие никакого отношения к личной информации;

  • пароли для разных сайтов должны отличаться. При невозможности их запомнить, можно использовать менеджеры паролей. Однако в этом случае необходимо крайне внимательно подобрать сложный пароль к данному инструменту.

Можно установить LastPass: Free Password Manager, который позволяет безопасно хранить пароли, адреса, заметки и прочие данные для автозаполнения форм:
Менеджер паролей LastPass: Free Password Manager для Google Chrome

Заключение

1
Безопасность передачи и хранения пользовательских данных — один из приоритетов в работе любого сайта.
2
Обеспечить защиту персональных данных можно использованием протокола HTTPS.
3
Важно следить за надежностью паролей, которые вводят пользователи, добавляя соответствующие проверки и рекомендации.
4
Полезно регулярно предлагать изменять пароль в учетных записях пользователей, чтобы снизить риск их взлома.
5
Пароли администраторов должны быть максимально сложными, нужно не забывать менять их как можно чаще.
Эта статья — часть модуля «Аудит сайта» в Serpstat
«Аудит сайта» в Serpstat
Аудит всего сайта или отдельной страницы в один клик. Полный список ошибок, отсортированный по критичности, пути их устранения и рекомендации. Любая периодичность проверки и автоматическая рассылка отчетов на почту.
Запустить аудит сайта

Сэкономьте время на изучении Serpstat

Хотите получить персональную демонстрацию сервиса, тестовый период или эффективные кейсы использования Serpstat?

Оставьте заявку и мы свяжемся с вами ;)

Оцените статью по 5-бальной шкале

5 из 5 на основе 1 оценок
Нашли ошибку? Выделите её и нажмите Ctrl + Enter, чтобы сообщить нам.

Поделитесь статьей с вашими друзьями

Войти Регистрация

Вы исчерпали лимит запросов.

Или email
Забыли пароль?
Или email
Back To Login

Не волнуйтесь! Напишите свой электронный адрес и мы пришлем вам новый пароль.

Вы уверены?

Awesome!

To complete your registration you need to enter your phone number

Назад

Мы отправили код подтверждения на ваш номер телефона

Your phone Resend code Осталось запросов

Что-то пошло не так.

Свяжитесь с нашей службой поддержки
Или подтвердите регистрацию с помощью Телеграм бота Перейдите по этой ссылке
Выберите один из проектов

Знакомство с сервисом

Ознакомьтесь с основными возможностями Serpstat удобным способом!

Отправьте заявку для ознакомления с сервисом и мы свяжемся с вами в кратчайшие сроки. Наш специалист предложит подходящий вариант, который может включать персональную демонстрацию, пробный период, материалы для обучения и повышения экспертизы, личную консультацию, а также комфортные условия для начала работы с Serpstat.

Имя

Email

Телефон

Будем рады вашему комментарию
Увеличить лимиты

Улучшить тариф

Экспорт недоступен для вашего тарифного плана. Вам необходимо улучшить свой тариф до Lite или выше, чтобы получить доступ к инструменту Подробнее

Зарегистрироваться

Спасибо, мы с вами свяжемся в ближайшее время

Пригласить
Просмотр Редактирование

E-mail
Сообщение
необязательно
E-mail
Сообщение
необязательно

У вас закончились лимиты

Вы достигли лимита на количество созданных проектов и больше не можете создавать новые проекты. Увеличьте лимиты или удалите существующие проекты.

Я хочу больше лимитов